一項 AI 安全工具發現了擬議的 XRP 帳本(XRPL)升級中存在嚴重漏洞,若未被發現,可能導致資金大量損失。
根據 XRPL 實驗室最近的 披露,該漏洞在修正案上線前已被發現,促使開發人員和驗證者迅速介入,停止啟用並部署緊急防護措施。
重點摘要
- 攻擊者可能因網路建議的批次修正中的漏洞,而從 XRP 帳本中提取資金。
- 安全研究員 Pranamya Keshkamat 在 AI 審計工具 Apex 的協助下,於修訂獲批准前發現了此漏洞。
- 開發者迅速發布了修復程式,以關閉有漏洞的功能並防止被利用。
- XRPL Labs 已採用 AI 協助審計,以檢測程式碼庫中的類似邏輯錯誤。
漏洞可能導致 XRPL 上資金損失
具體而言,此漏洞影響了 XRPL 提出的 Batch 訂正。安全研究人員 Pranamya Keshkamat 與由 Cantina AI 開發的 AI 審計工具 Apex 於 2026 年 2 月 19 日發現了此缺陷。
透過靜態程式碼分析,他們的調查發現批次交易簽署者驗證中存在一個關鍵邏輯錯誤。此漏洞可能允許攻擊者在無需私鑰的情況下轉移受害帳戶的資金。
漏洞如何運作
為提供背景,批次交易會將多個操作合併為一個操作,讓用戶可透過已批准的簽署者授權整個批次。
然而,一個迴圈錯誤導致系統在遇到與新創建帳戶相關聯的簽署人時,提前批准了一批次。因此,系統跳過了對其餘簽署人的驗證,為偽造批准開闢了途徑。
攻擊者可透過以下方式利用此漏洞:首先在批次中建立一個新帳戶,然後添加一筆小額交易,最後插入一筆轉走受害者加密資產(包括 XRP)的付款。由於在驗證時新帳戶尚未存在,系統會錯誤地批准整個批次,從而導致未經授權的轉帳。
開發人員已實施即時修復
在透過概念驗證確認該缺陷後,Ripple 的工程團隊敦促唯一節點清單(UNL)上的驗證節點投票反對該修正案。此外,開發人員釋出了 rippled 3.1.1 以停用 受影響的功能。
他們已移除有缺陷的邏輯,加強了授權檢查,並引入了修正後的 升級 BatchV1_1,目前正接受審查。新升級的官方發佈日期尚未公佈。
除了即時修復外,XRP Labs 已將 AI 協助審計整合至其標準審查流程中,並擴展靜態分析,以偵測代碼庫中類似的錯誤。
最終,早期檢測突顯了人工智慧在保護區塊鏈基礎設施方面日益重要的角色,並展示了主動防護措施如何在部署前阻止嚴重的漏洞利用。
免責聲明:本內容僅供資訊參考,不應視為財務建議。本文所表達的觀點可能包含作者的個人意見,並不反映 The Crypto Basic 的立場。建議讀者在做出任何投資決定前進行充分研究。The Crypto Basic 對任何財務損失不承擔責任。
