Інструмент штучного інтелекту виявив критичну помилку в XRP Ledger до того, як її могли використати хакери

• Оголошення -

Інструмент безпекового аудиту, керований ШІ, виявив критичну вразливість подвійного витрачання в XRP Ledger у лютому 2026 року, потенційно запобігши втраті сотень мільйонів коштів користувачів ще до того, як хоча б один гаманець було торкнуто.

Що саме зробив баг

Вразливість лежала на перетині двох конкретних функцій XRPL: Часткових платежів і певної логіки смартконтрактів у стилі ескроу. Самі по собі жодна з цих функцій не була проблемою. У поєднанні за певних умов вони створили шлях для експлойту, який міг дозволити зловмиснику змусити реєстр записати платіж як повністю завершений, тоді як фактично рухалася лише частина від запланованого XRP.

Практичною мішенню для такого експлойту могли б бути автоматизовані маркет-мейкери та децентралізовані біржі, що працюють у межах реєстру. Вони обидва покладаються на точну логіку розрахунків, щоб коректно функціонувати. Транзакція, яка виглядає повністю виконаною, але передає лише часткову вартість, — це саме той тип невідповідності, який виводить ліквідність з AMM і DEX, перш ніж хтось помітить, що облік неправильний.

Баг не був простим. Він вимагав моделювання взаємодій у крайових сценаріях, які стандартні процеси аудиту, що виконуються людьми, рідко виявляють, — і саме тому його не помітили, доки інструмент безпекового аудиту на основі ШІ не знайшов це.

Як це було виявлено та виправлено

Згадується, що відкриття зробив інструмент ШІ для аудиту, який використовує методологію формальної верифікації, і, як повідомляють, від нього походять напрацювання компанії, що працює в сегменті CertiK або Immunefi. Формальна верифікація працює так: математично моделює поведінку коду в межах мільярдів можливих станів транзакцій, включно з комбінаціями, які аудитори-люди не подумали б перевіряти, бо вони виходять за межі звичних шаблонів використання. Вразливість була в одній із таких комбінацій.

Після виявлення XRPL Foundation і інженерна команда Ripple приватно працювали з компанією з безпеки, щоб розробити патч ще до будь-якого публічного розголошення. Потім виправлення було подано через стандартний процес управління внесеннями змін в XRPL, який вимагає 80% консенсусу від мережі валідаторів протягом 14-денного періоду, щоб його було прийнято. Внесення змін пройшло. Кошти не були втрачені. Нуль.

Виправлення інтегровано в rippled версії 2.3.0 і вище.

                На крипторинку лишився один каталізатор, який потрібно врахувати в ціні, і він настане в неділю

Чому відповідь на рівні управління має значення

Технічне виправлення — це лише частина історії. Інша частина — відповідь на рівні управління. XRPL усунув критичну вразливість без хардфорку, без розщеплення ланцюга й без будь-якого періоду простою мережі. Процес внесення змін, який критики XRPL інколи описують як повільний або надміру обережний, ефективно впорався з по-справжньому серйозною проблемою безпеки та без побічної шкоди для користувачів.

Для інституційних учасників, які використовують платіжну інфраструктуру Ripple, цей результат має реальну вагу. Можливість великої мережі рівня 1 виправити критичний недолік на рівні логіки коду ще до експлуатації — через впорядкований процес консенсусу валідаторів — це саме той тип операційного досвіду, який важить, коли розмова переходить до інституційного впровадження в масштабі.

Ширший сигнал

Цей інцидент є одним із найзначніших ранніх прикладів того, як інструменти аудиту генеративного ШІ виявляють вразливості в інфраструктурі блокчейну, що працює в продакшні, які не були помічені під час ручного огляду. Висновок не в тому, що аудиторів-людей більше не потрібно. Йдеться про те, що поєднання формальної верифікації на масштабі машин і експертизи людей створює суттєво сильніший рівень безпеки, ніж кожна з цих складових окремо.