- 広告 -* * * * * AI駆動のセキュリティ監査ツールが、2026年2月にXRP Ledger(XRPレジャー)内で重大な二重支払い(二重使用)脆弱性を特定し、単一のウォレットに触れられる前に、利用者の資産が何億ドル規模で失われることを未然に防げた可能性があるとされた。バグは実際に何をしたのか-------------------------この脆弱性は、**2つの特定のXRPL機能**の交差点に存在していた。部分支払い(Partial Payments)と、エスクロー型のスマートコントラクトロジックの一部である。単体ではどちらの機能も問題ではなかった。ところが、特定の条件下で組み合わせると、攻撃者がレジャーに対し、本来意図されたXRPの一部しか実際には移動していないのに、支払いが完全に決済されたと記録させることを可能にするエクスプロイト経路が成立し得た。この種のエクスプロイトの現実的な標的になり得たのは、レジャー上で動作する自動マーケットメーカー(AMM)や分散型取引所(DEX)である。両者は、正確な決済ロジックに依存して正しく機能する。受け取った側の記録が「完了」と見えているのに、部分的な価値しか提供されない取引こそ、会計が誤っていることに誰も気づく前に、AMMやDEXから流動性を吸い出してしまう種類の不一致だ。このバグは単純ではなかった。標準的な人間による監査プロセスでは滅多に表面化しない、エッジケース同士の相互作用をシミュレーションする必要があり、それがまさに、AIセキュリティツールが見つけるまで未検知だった理由だ。どのように発見され、どのように修正されたか-------------------------発見は、形式的検証(Formal verification)の手法を用いるAI監査ツールによるものだとされている。CertiKまたはImmunefiの領域で事業を行っている企業からの報告があるという。形式的検証は、コードの振る舞いを、あり得る数十億ものトランザクション状態にまたがって数学的にモデル化することで機能する。そこには、人間の監査担当者がテストしようと思いつかない(通常の利用パターンの外にある)組み合わせも含まれる。その脆弱性は、そうした組み合わせの1つに潜んでいた。発見後、XRPL FoundationおよびRippleのエンジニアリングチームは、公開される前に修正パッチを作るために、セキュリティ企業と非公開で連携した。修正は、その後XRPLの標準的な改正(amendment)ガバナンス手順を通じて提出された。この手順では、導入の採択に向けてバリデータネットワークから14日間で80%のコンセンサスが必要となる。改正は可決された。資金は失われなかった。ゼロ。この修正は、rippledバージョン2.3.0以降に統合されている。 ### 暗号市場にはあと1つ、日曜に到来する織り込むべき触媒がある なぜガバナンスへの対応が重要なのか-----------------------------------技術的な修正は物語の一部にすぎない。ガバナンス面での対応こそがもう一方だ。XRPLは、ハードフォークなしで、チェーンの分裂なしで、そしてネットワーク停止の期間もなく、重大な脆弱性を解決した。XRPLの批判者たちがときに「遅い」あるいは「過度に慎重」と評してきた改正プロセスは、実際に真に重大なセキュリティ問題を、効率よく、しかもユーザーへの巻き添え被害(コラテラル・ダメージ)なしで処理した。Rippleの決済インフラを利用する機関投資家にとっては、この結果には実質的な重みがある。大規模な機関導入へと話題が移る局面で重要になるのは、悪用される前に、コードロジックのレベルで重要な欠陥をパッチし、その後の秩序立ったバリデータのコンセンサス手順によって実装できるという、主要なLayer 1ネットワークの運用実績だ。より広いシグナル------------------このインシデントは、人間のレビューで見落とされた本番のブロックチェーン基盤における脆弱性を、生成AI監査ツールが特定したという、より重要な初期事例の1つを示している。示唆されているのは、人間の監査担当者が不要だということではない。むしろ、機械規模での形式的検証と人間の専門性を組み合わせることで、どちらか一方が生み出すものよりも、実質的に強固なセキュリティ態勢が構築される、ということだ。
AIツールがハッカーが攻撃できる前に、重要なXRPレジャーのバグを検出
AI駆動のセキュリティ監査ツールが、2026年2月にXRP Ledger(XRPレジャー)内で重大な二重支払い(二重使用)脆弱性を特定し、単一のウォレットに触れられる前に、利用者の資産が何億ドル規模で失われることを未然に防げた可能性があるとされた。
バグは実際に何をしたのか
この脆弱性は、2つの特定のXRPL機能の交差点に存在していた。部分支払い(Partial Payments)と、エスクロー型のスマートコントラクトロジックの一部である。単体ではどちらの機能も問題ではなかった。ところが、特定の条件下で組み合わせると、攻撃者がレジャーに対し、本来意図されたXRPの一部しか実際には移動していないのに、支払いが完全に決済されたと記録させることを可能にするエクスプロイト経路が成立し得た。
この種のエクスプロイトの現実的な標的になり得たのは、レジャー上で動作する自動マーケットメーカー(AMM)や分散型取引所(DEX)である。両者は、正確な決済ロジックに依存して正しく機能する。受け取った側の記録が「完了」と見えているのに、部分的な価値しか提供されない取引こそ、会計が誤っていることに誰も気づく前に、AMMやDEXから流動性を吸い出してしまう種類の不一致だ。
このバグは単純ではなかった。標準的な人間による監査プロセスでは滅多に表面化しない、エッジケース同士の相互作用をシミュレーションする必要があり、それがまさに、AIセキュリティツールが見つけるまで未検知だった理由だ。
どのように発見され、どのように修正されたか
発見は、形式的検証(Formal verification)の手法を用いるAI監査ツールによるものだとされている。CertiKまたはImmunefiの領域で事業を行っている企業からの報告があるという。形式的検証は、コードの振る舞いを、あり得る数十億ものトランザクション状態にまたがって数学的にモデル化することで機能する。そこには、人間の監査担当者がテストしようと思いつかない(通常の利用パターンの外にある)組み合わせも含まれる。その脆弱性は、そうした組み合わせの1つに潜んでいた。
発見後、XRPL FoundationおよびRippleのエンジニアリングチームは、公開される前に修正パッチを作るために、セキュリティ企業と非公開で連携した。修正は、その後XRPLの標準的な改正(amendment)ガバナンス手順を通じて提出された。この手順では、導入の採択に向けてバリデータネットワークから14日間で80%のコンセンサスが必要となる。改正は可決された。資金は失われなかった。ゼロ。
この修正は、rippledバージョン2.3.0以降に統合されている。
なぜガバナンスへの対応が重要なのか
技術的な修正は物語の一部にすぎない。ガバナンス面での対応こそがもう一方だ。XRPLは、ハードフォークなしで、チェーンの分裂なしで、そしてネットワーク停止の期間もなく、重大な脆弱性を解決した。XRPLの批判者たちがときに「遅い」あるいは「過度に慎重」と評してきた改正プロセスは、実際に真に重大なセキュリティ問題を、効率よく、しかもユーザーへの巻き添え被害(コラテラル・ダメージ)なしで処理した。
Rippleの決済インフラを利用する機関投資家にとっては、この結果には実質的な重みがある。大規模な機関導入へと話題が移る局面で重要になるのは、悪用される前に、コードロジックのレベルで重要な欠陥をパッチし、その後の秩序立ったバリデータのコンセンサス手順によって実装できるという、主要なLayer 1ネットワークの運用実績だ。
より広いシグナル
このインシデントは、人間のレビューで見落とされた本番のブロックチェーン基盤における脆弱性を、生成AI監査ツールが特定したという、より重要な初期事例の1つを示している。示唆されているのは、人間の監査担当者が不要だということではない。むしろ、機械規模での形式的検証と人間の専門性を組み合わせることで、どちらか一方が生み出すものよりも、実質的に強固なセキュリティ態勢が構築される、ということだ。