لقد تواصلت للتو مع شيء مهم جدًا حدث مع XRPL في الشهر الماضي—ثغرة أمنية حرجة في تعديل Batch amendment المقترح كان من الممكن أن تمكن المهاجمين من تصفية الحسابات والتلاعب بإعدادات السجل بدون مفاتيح خاصة لأي شخص. بصراحة، كان التوقيت مذهلاً. أبلغ الباحث الأمني براناميا كيشكامات وأداة Apex من Cantina AI عن الثغرة في 19 فبراير، وتزامن ذلك مع دفع XRPL نحو البنية التحتية المؤسسية. لو تم تمرير هذا إلى الشبكة الرئيسية، لكان سيكون كارثيًا لمصداقيتهم.

إليكم ما جعل الأمر خطيرًا: تم تصميم تعديل Batch amendment للسماح للمستخدمين بتجميع عدة معاملات بشكل ذري—إما أن تنجح جميعها أو تفشل جميعها معًا. مفهوم نظيف للعمليات متعددة الخطوات. لكن نموذج التفويض كان به عيب في كيفية التحقق من صحة الموقعين. كان الكود يواجه حسابًا لم يُنشأ بعد، وكان مفتاح التوقيع الخاص به مطابقًا لذلك الحساب، ويصل إلى النجاح، ويتوقف عن التحقق من بقية القائمة. يبدو الأمر بسيطًا، لكن في نظام التجميع؟ كان يمكن للمهاجم أن يدرج نفسه كموقع صالح لحساب غير موجود، ويطلق ذلك الخروج المبكر، ويتجاوز التحقق من الموقعين المزورين الذين يدعون تفويض حسابات الضحايا. كان بإمكانهم تنفيذ معاملات Payment لتصفية الاحتياطيات، أو تفعيل عمليات AccountSet أو TrustSet—أي سيناريوهات "الإنفاق بدون مفاتيح".

لكن الاستجابة كانت فعلاً مثيرة للإعجاب. شبكة المدققين في XRPL تنسقت بسرعة. بحلول 23 فبراير، أطلقوا rippled 3.1.1، إصدار طارئ وضع علامة على كل من Batch amendment و fixBatchInnerSigs على أنهما غير مدعومين. حصل المدققون على إشارة للتصويت بـ "لا". تم جدولة إعادة ضبط شبكة devnet لتتزامن مع الإطلاق. لم تُخسر أموال، ولم يتم تفعيل شيء. نظام الحوكمة في الواقع صمد.

لكن الأمر هنا—هذا الأمر مهم أكثر مما قد يبدو للوهلة الأولى. يضع XRPL نفسه كمُنشئ للبنية التحتية للتمويل المنظم، وتوكنات الأصول الحقيقية، وDeFi المؤسسي. لديهم حوالي $50 مليون في DeFi مقفلة على المنصة وما يقرب من $2 مليار في أصول Permissioned Domains و RWA. هم يطلقون Domains مخصصة، وأسواق DEX مقيدة، وأماكن تداول موثوقة عبر KYC. فشل في التفويض على هذا المسار كان ليحطم سرد الأمان بأكمله. في عالم العملات الرقمية، الصورة الذهنية تظل طويلة بعد الإصلاح الفني.

الفريق يعمل بالفعل على BatchV1_1 كبديل مصحح—يُزيل الخروج المبكر، ويضيف حراس تفويض أكثر صرامة، ويضيق نطاق التوقيع. كما يخططون لمراجعات أوسع بمساعدة الذكاء الاصطناعي وفحوصات تحليل ثابت أفضل لأنماط الحلقات الخطرة. إنه الخطوة الصحيحة.

الاختبار الحقيقي يأتي بعد ذلك: هل يمكن لـ XRPL إصدار البديل بأمان مع الحفاظ على هامش الأمان الذي يحتاجونه لاعتماد المؤسسات؟ إنهم يحاولون بناء منصة مالية متطورة، وهذا يعني أن الأمور المملة—مثل التحقق من الموقعين، وسلوك الحلقات، وحدود التفويض—تصبح حاسمة للمهمة. نتائج فبراير تُعد فوزًا في الحوكمة. السؤال هو هل يمكنهم الحفاظ على هذا الانضباط مع توسعهم. من الجدير مراقبة كيف ستتطور الأمور.