XRP Ledger Compromised? Validator Warns Projects And Developers Of Critical Issues

bitcoinistPublié le 2025-04-23Dernière mise à jour le 2025-04-23

Résumé

An XRP Ledger (XRPL) validator has warned projects and developers that the network is compromised. He revealed some critical issues...

Trusted Editorial content, reviewed by leading industry experts and seasoned editors. Ad Disclosure

An XRP Ledger (XRPL) validator has warned projects and developers that the network is compromised. He revealed some critical issues on the network, which put users and their funds at risk of an exploit. 

Validator Warns That XRP Ledger is Compromised

In an X post, XRP Ledger validator Vet told the network’s developers and projects that use the XRPL js library not to update or use any version 4.2.1 or higher, as it has been compromised. He remarked that any project utilizing the newest version of XRPL is putting users and funds at risk of an attack from hackers. 

Vet’s warning was in response to a post by Aikido Security, in which they stated that they had discovered a backdoor in the official XRP Ledger NPM package. The blockchain security firm added that this back door steals private keys and sends them to attackers. The affected versions are 4.2.1 and 4.2.4, so developers and projects should not upgrade to these versions. 

Ripple Chief Technology Officer (CTO) David Schwartz also commented on the Ledger situation, noting that it was just the XRPL.js from NPM that was compromised. He also alluded to a post by Ripple senior software engineer Mayukha Vadari. Vadari mentioned that the Ledger itself is unaffected by the malware. 

The engineer confirmed that the malware packages only affected services that use xrpl.js and were upgraded to the malicious versions that were published about a day ago. He added that GitHub remains safe, as only npm has been compromised. Vadari urged users to avoid services that have access to their private keys and seed phrases until they have confirmed that these services are unaffected by this malware. 

XRPL Foundation Provides Update 

The XRP Ledger Foundation also provided an update on the malware situation. In an X post, the Foundation clarified that the vulnerability is in xrpl.js, a JavaScript library for interacting with the XRPL. They further stated that the vulnerability does not affect the network’s codebase or the GitHub repository itself. Meanwhile, the Foundation urged projects using xrpl.js to upgrade to v4.2.5 immediately. 

The XRP Ledger Foundation also confirmed in the thread that it had deprecated the compromised xrpl.js versions on npm. They mentioned that they will share a detailed post-mortem soon and again urged projects and developers to ensure that they are using versions 4.2.5 or 2.14.3. 

In another X post, the Foundation announced that it has published an updated npm package for users of the 2.14.x branch to remove the previously compromised version. They asked these XRP Ledger users to update immediately to version 2.14.3 to prevent an attack. 

XRP
XRP trading at $2.2 on the 1D chart | Source: XRPUSDT on Tradingview.com
Featured image from YouTube, chart from Tradingview.com
Editorial Process for bitcoinist is centered on delivering thoroughly researched, accurate, and unbiased content. We uphold strict sourcing standards, and each page undergoes diligent review by our team of top technology experts and seasoned editors. This process ensures the integrity, relevance, and value of our content for our readers.

Scott Matherson is a leading crypto writer at Bitcoinist, who possesses a sharp analytical mind and a deep understanding of the digital currency landscape. Scott has earned a reputation for delivering thought-provoking and well-researched articles that resonate with both newcomers and seasoned crypto enthusiasts. Outside of his writing, Scott is passionate about promoting crypto literacy and often works to educate the public on the potential of blockchain.

Lectures associées

Le nouveau blog de Weng Li propose que « l'auto-évolution commence par le Harnais », Cui Tianyi de DeepSeek relaie et approuve

L'ancienne vice-présidente de la sécurité d'OpenAI et cofondatrice du Thinking Machines Lab, Weng Li, propose dans un nouveau blog une voie réaliste pour l'auto-évolution de l'IA. Elle suggère que les progrès initiaux en matière d'amélioration récursive de soi (RSI) pourraient provenir non pas de la modification directe des poids du modèle, mais de l'optimisation du **Harness** – le système externe qui gère l'appel d'outils, la gestion du contexte, la planification des tâches et la validation des résultats pour un agent IA. Le chercheur de DeepSeek, Cui Tianyi, a soutenu cette vision, notant que l'auto-évolution du Harness est une direction de recherche très prometteuse, au même titre que l'auto-évolution du modèle lui-même. Weng Li décrit une progression claire des travaux récents : de l'ingénierie du contexte (comme ACE et MCE, qui structurent la mémoire de l'agent), à la conception de workflows (où l'agent optimise son propre processus de travail, comme dans AI Scientist ou ADAS), et enfin à l'**auto-amélioration du Harness**. Cette dernière couche permet à l'agent d'analyser ses échecs, de proposer des modifications incrémentielles et vérifiables à son propre système d'exécution, puis de les valider avant adoption. Des méthodes comme l'**Evolutionary Search** ou **DGM** (Darwin Gödel Machine) poussent ce concept plus loin en faisant évoluer le code du Harness lui-même par sélection, conduisant à des gains de performance significatifs sur des benchmarks de code, rivalisant avec des agents conçus manuellement. Cependant, Weng Li souligne plusieurs défis persistants : la faiblesse des évaluateurs pour les tâches subjectives ou à long terme, les risques de *reward hacking*, la perte de diversité dans les cycles d'évolution, et la difficulté à concilier succès à court terme et santé à long terme des systèmes. Elle conclut que le Harness et le modèle se renforceront mutuellement, et que le rôle humain évoluera vers une supervision à un niveau d'abstraction plus élevé, sans être exclu de la boucle. La compétitivité future des systèmes d'IA dépendra donc de plus en plus de la sophistication de leur Harness.

marsbitIl y a 20 mins

Le nouveau blog de Weng Li propose que « l'auto-évolution commence par le Harnais », Cui Tianyi de DeepSeek relaie et approuve

marsbitIl y a 20 mins

Un ancien « génie adolescent » de Huawei critiquant l’entretien DeepSeek se retrouve pris dans une « tempête » déclenchée par un investisseur Web3

L'ancien « talent prodige » de Huawei, Li Bojie, a suscité l'attention en critiquant publiquement son expérience d'entretien avec DeepSeek, dénonçant des délais injustifiés et une accusation de tricherie qu'il a jugée insultante. Ce litige a ouvert la voie à une controverse plus large avec son ancien investisseur, ABCDE Capital, concernant son projet Web3+AI, Metagent. Le co-fondateur d'ABCDE, Du Jun, a accusé Li Bojie d'un « manque d'esprit contractuel », affirmant que le projet Metagent, dans lequel ils avaient investi 500 000 USD sur une promesse totale de 1,5 million, avait produit des démonstrations de mauvaise qualité et que Li avait cessé de communiquer. D'autres investisseurs ont critiqué son approche peu professionnelle lors des levées de fonds. Li Bojie a répondu que le manque de financement complet avait entravé le développement, et qu'il avait quitté Metagent en 2024 pour des raisons familiales et de conformité, avec l'approbation du conseil. Le projet est depuis tombé en sommeil. Li s'est ensuite tourné vers le projet Pine AI, une plateforme d'agents IA pour les consommateurs, où il a occupé le poste de scientifique en chef avant de démissionner récemment pour se consacrer à la recherche sur les modèles de base, précisant qu'il n'en était pas le fondateur.

Foresight NewsIl y a 1 h

Un ancien « génie adolescent » de Huawei critiquant l’entretien DeepSeek se retrouve pris dans une « tempête » déclenchée par un investisseur Web3

Foresight NewsIl y a 1 h

Trading

Spot
活动图片