- 広告 -* * * * * AI主導のセキュリティ監査ツールが、2026年2月にXRP Ledger内で重大なダブルスペンドの脆弱性を特定し、単一のウォレットが触られる前にユーザー資産の数億ドル相当の損失を防げた可能性があるとされています。バグが実際にやったこと-------------------------その脆弱性は、**2つの特定のXRPL機能**の交差点に存在していました。部分支払い(Partial Payments)と、特定のエスクロー型のスマートコントラクトロジックです。単体では、どちらの機能も問題ではありませんでした。特定の条件下で組み合わさることで、意図したXRPのほんの一部しか移動していないのに、台帳に支払いが完全に決済済みとして記録されてしまうように、攻撃者が台帳をだませる可能性のあるエクスプロイト経路が生まれていました。この種のエクスプロイトの現実的な標的になり得たのは、台帳上で動作する自動マーケットメイカー(AMM)や分散型取引所(DEX)です。どちらも正確な決済ロジックに依存して正しく機能します。提供される価値が部分的なのに、取引が完了として読み取られる——そのような不一致は、会計が間違っていることに誰も気づく前に、AMMやDEXから流動性を吸い出すまさにそのタイプです。バグは単純ではありませんでした。標準的な人間の監査プロセスではめったに表面化しないエッジケース同士の相互作用をシミュレートする必要がありました。だからこそ、AIセキュリティツールが見つけるまで未検出のままだったのです。見つかり、修正された経緯--------------------------発見は、形式的検証(formal verification)手法を用いるAI監査ツールによるものとされています。CertiKまたはImmunefiの領域で事業を行っている企業からのものだと報じられています。形式的検証は、コードの挙動を、数十億もの可能な取引状態にわたって数学的にモデル化することで機能します。そこには、人間の監査人がテストしようと思いつかないような組み合わせも含まれます。なぜなら、それらは通常の利用パターンの外側にあるためです。その脆弱性は、その組み合わせの1つの中にありました。発見後、XRPL FoundationとRippleのエンジニアリングチームは、安全保障上の問題に関する企業と協議し、公表前にパッチを開発するため、セキュリティ企業と非公開で連携しました。その後、この修正はXRPLの標準的な改定(amendment)ガバナンスプロセスを通じて提出されました。採用には、14日間の期間にバリデータネットワークから80%のコンセンサスが必要です。改定は承認されました。資金は失われませんでした。ゼロ。この修正は、rippledバージョン2.3.0以降に統合されています。 ### 暗号市場にはあと1つ、日曜に到来するべき触媒がある なぜガバナンスの対応が重要なのか-----------------------------------技術的な修正は物語の一部にすぎません。ガバナンス上の対応がもう一つの部分です。XRPLは、ハードフォークなし、チェーン分裂なし、そしてネットワークの停止期間なしで、重大な脆弱性を解決しました。XRPLに対して批判者が「遅い」「過度に慎重」と特徴づけることがある改定プロセスであっても、実際には、ユーザーへの損害を伴うことなく、しかも効率的に、本当に深刻なセキュリティ問題を処理しました。Rippleの決済インフラを利用する機関投資家にとって、その結果には実際の重みがあります。搾取(悪用)前に、コードロジックのレベルで重要な欠陥をパッチし、それを秩序あるバリデータのコンセンサス手順によって大規模に成立させられる、主要なLayer 1ネットワークの運用実績——これは、機関投資家による大規模な採用へ話が移ったときに重視される種類のトラックレコードです。より広いシグナル------------------このインシデントは、生成AI監査ツールが、人間のレビューで見逃した脆弱性を、本番のブロックチェーン基盤で特定した、より重要な初期事例の一つを示しています。結論として、人間の監査人が不要だという意味ではありません。機械規模での形式的検証と、人間の専門性の組み合わせが、どちらか一方だけでは生み出せない形で、より実質的に強固なセキュリティ態勢を作るということです。
AIツールがハッカーが攻撃できる前に、重要なXRPレジャーのバグを検出
AI主導のセキュリティ監査ツールが、2026年2月にXRP Ledger内で重大なダブルスペンドの脆弱性を特定し、単一のウォレットが触られる前にユーザー資産の数億ドル相当の損失を防げた可能性があるとされています。
バグが実際にやったこと
その脆弱性は、2つの特定のXRPL機能の交差点に存在していました。部分支払い(Partial Payments)と、特定のエスクロー型のスマートコントラクトロジックです。単体では、どちらの機能も問題ではありませんでした。特定の条件下で組み合わさることで、意図したXRPのほんの一部しか移動していないのに、台帳に支払いが完全に決済済みとして記録されてしまうように、攻撃者が台帳をだませる可能性のあるエクスプロイト経路が生まれていました。
この種のエクスプロイトの現実的な標的になり得たのは、台帳上で動作する自動マーケットメイカー(AMM)や分散型取引所(DEX)です。どちらも正確な決済ロジックに依存して正しく機能します。提供される価値が部分的なのに、取引が完了として読み取られる——そのような不一致は、会計が間違っていることに誰も気づく前に、AMMやDEXから流動性を吸い出すまさにそのタイプです。
バグは単純ではありませんでした。標準的な人間の監査プロセスではめったに表面化しないエッジケース同士の相互作用をシミュレートする必要がありました。だからこそ、AIセキュリティツールが見つけるまで未検出のままだったのです。
見つかり、修正された経緯
発見は、形式的検証(formal verification)手法を用いるAI監査ツールによるものとされています。CertiKまたはImmunefiの領域で事業を行っている企業からのものだと報じられています。形式的検証は、コードの挙動を、数十億もの可能な取引状態にわたって数学的にモデル化することで機能します。そこには、人間の監査人がテストしようと思いつかないような組み合わせも含まれます。なぜなら、それらは通常の利用パターンの外側にあるためです。その脆弱性は、その組み合わせの1つの中にありました。
発見後、XRPL FoundationとRippleのエンジニアリングチームは、安全保障上の問題に関する企業と協議し、公表前にパッチを開発するため、セキュリティ企業と非公開で連携しました。その後、この修正はXRPLの標準的な改定(amendment)ガバナンスプロセスを通じて提出されました。採用には、14日間の期間にバリデータネットワークから80%のコンセンサスが必要です。改定は承認されました。資金は失われませんでした。ゼロ。
この修正は、rippledバージョン2.3.0以降に統合されています。
なぜガバナンスの対応が重要なのか
技術的な修正は物語の一部にすぎません。ガバナンス上の対応がもう一つの部分です。XRPLは、ハードフォークなし、チェーン分裂なし、そしてネットワークの停止期間なしで、重大な脆弱性を解決しました。XRPLに対して批判者が「遅い」「過度に慎重」と特徴づけることがある改定プロセスであっても、実際には、ユーザーへの損害を伴うことなく、しかも効率的に、本当に深刻なセキュリティ問題を処理しました。
Rippleの決済インフラを利用する機関投資家にとって、その結果には実際の重みがあります。搾取(悪用)前に、コードロジックのレベルで重要な欠陥をパッチし、それを秩序あるバリデータのコンセンサス手順によって大規模に成立させられる、主要なLayer 1ネットワークの運用実績——これは、機関投資家による大規模な採用へ話が移ったときに重視される種類のトラックレコードです。
より広いシグナル
このインシデントは、生成AI監査ツールが、人間のレビューで見逃した脆弱性を、本番のブロックチェーン基盤で特定した、より重要な初期事例の一つを示しています。結論として、人間の監査人が不要だという意味ではありません。機械規模での形式的検証と、人間の専門性の組み合わせが、どちらか一方だけでは生み出せない形で、より実質的に強固なセキュリティ態勢を作るということです。