Інструмент штучного інтелекту виявив критичну помилку в XRP Ledger до того, як її могли використати хакери

• Реклама -

Інструмент аудиту безпеки, керований штучним інтелектом, виявив критичну вразливість подвійного витрачання в XRP Ledger у лютому 2026 року, потенційно запобігши втраті сотень мільйонів активів користувачів до того, як було торкнуто жодного гаманця.

Що насправді робила помилка

Вразливість перебувала на перетині двох специфічних функцій XRPL: Часткових платежів та певної логіки смарт-контрактів у стилі ескроу. Кожна з цих функцій окремо не була проблемою. У поєднанні за специфічних умов вони створили шлях для експлуатації, який міг би дозволити зловмиснику обманути реєстр, щоб зафіксувати платіж як повністю завершений, у той час як лише частина запланованого XRP насправді переміщалася.

Практичною метою для такої експлуатації стали б автоматизовані маркет-мейкери та децентралізовані біржі, які працюють на реєстрі. Обидва покладаються на точну логіку врегулювання для правильного функціонування. Транзакція, яка виглядає завершеною, але при цьому доставляє часткову вартість, є саме тим видом невідповідності, що висмоктує ліквідність з AMM та DEX до того, як хтось помітить, що облік неправильний.

Помилка була не простою. Вона вимагала імітації крайніх взаємодій, які стандартні процеси аудиту людьми рідко виявляють, що саме і пояснює, чому вона залишалася непомітною до тих пір, поки інструмент безпеки на базі штучного інтелекту не виявив її.

Як її знайшли та виправили

Виявлення приписується інструменту аудиту на базі штучного інтелекту, який використовує методологію формальної верифікації, ймовірно, від фірми, що працює в сфері CertiK або Immunefi. Формальна верифікація працює шляхом математичного моделювання поведінки коду в мільярдах можливих станів транзакцій, включаючи комбінації, які аудитори не подумали б протестувати, оскільки вони виходять за межі нормальних шаблонів використання. Вразливість перебувала в одній з цих комбінацій.

Після виявлення Фонд XRPL та інженерна команда Ripple працювали приватно з фірмою безпеки, щоб розробити патч до будь-якого публічного розголошення. Виправлення було подано через стандартний процес управління змінами XRPL, який вимагає 80% консенсусу від мережі валідаторів протягом 14 днів для прийняття. Зміна пройшла. Жодні кошти не були втрачені. Нуль.

Виправлення інтегровано в версію rippled 2.3.0 та вище.

                Крипторинок має один каталізатор, який залишився, щоб закласти ціну, і він прибуде в неділю

Чому відповідь на управління має значення

Технічне виправлення — це одна частина історії. Відповідь на управління — це інша. XRPL вирішив критичну вразливість без хард-форку, без розділення ланцюга і без будь-якого періоду простою мережі. Процес внесення змін, який критики XRPL іноді характеризують як повільний або надто обережний, ефективно впорався з дійсно серйозною проблемою безпеки і без будь-яких побічних пошкоджень для користувачів.

Для інституційних учасників, які використовують платіжну інфраструктуру Ripple, цей результат має реальну вагу. Здатність великої мережі рівня 1 виправити критичну помилку на рівні логіки коду, до експлуатації, через впорядкований процес консенсусу валідаторів, є тим видом оперативного треку, який має значення, коли розмова переходить до інституційного прийняття в масштабах.

Ширший сигнал

Цей інцидент представляє один з найбільш значних ранніх прикладів застосування інструментів аудиту на базі генеративного штучного інтелекту для виявлення вразливостей в продукційній блокчейн-інфраструктурі, які були пропущені людським оглядом. Імплікація не в тому, що людські аудитори стали непотрібними. Справа в тому, що поєднання формальної верифікації на машинному масштабі та людської експертизи створює суттєво сильнішу позицію безпеки, ніж що-небудь з них може забезпечити окремо.