Інструмент штучного інтелекту виявив критичну помилку в XRP Ledger до того, як її могли використати хакери

• Оголошення -

Інструмент аудиту безпеки, керований ШІ, виявив критичну вразливість подвійного витрачання в XRP Ledger у лютому 2026 року, потенційно запобігши втраті сотень мільйонів коштів користувачів до того, як було задіяно будь-який один гаманець.

Що насправді зробив баг

Вразливість знаходилася на перетині двох конкретних функцій XRPL: Часткові платежі та певна логіка смартконтрактів у стилі ескроу. Самі по собі жодна з цих функцій не була проблемою. У поєднанні за конкретних умов вони створили шлях для експлуатації, який міг дозволити зловмиснику обманути реєстр так, щоб платіж було записано як повністю врегульований, тоді як фактично перемістилася лише частка від запланованої суми XRP.

Практичною мішенню для такої експлуатації могли б бути автоматизовані маркет-мейкери та децентралізовані біржі, що працюють у цьому реєстрі. Обидва вони покладаються на точну логіку врегулювання, щоб функціонувати коректно. Транзакція, яка читається як завершена, але фактично доставляє часткову вартість, — саме та невідповідність, яка виснажує ліквідність AMM та DEX, перш ніж хтось помітить, що облік неправильний.

Баг не був простим. Він вимагав моделювання взаємодій у граничних сценаріях, які стандартні процеси аудиту, виконувані людьми, майже ніколи не виявляють — і саме тому він лишався непоміченим, аж доки його не знайшов інструмент аудиту безпеки на базі ШІ.

Як це виявили та як виправили

Виявлення приписують інструменту AI-аудиту, який використовує методологію формальної верифікації, як повідомляється, від компанії, що працює у сфері CertiK або Immunefi. Формальна верифікація працює шляхом математичного моделювання поведінки коду в межах мільярдів можливих станів транзакцій, включно з комбінаціями, які людські аудитори навіть не подумали б перевіряти, бо вони виходять за межі нормальних моделей використання. Вразливість знаходилася в одній із таких комбінацій.

Після виявлення XRPL Foundation і інженерна команда Ripple працювали приватно з компанією з безпеки, щоб розробити патч ще до будь-якого публічного повідомлення. Потім виправлення було подано через стандартний процес управління поправками XRPL, який вимагає 80% консенсусу від мережі валідаторів протягом 14-денного періоду, щоб його було прийнято. Поправку ухвалили. Кошти не були втрачені. Нуль.

Виправлення інтегровано в rippled версії 2.3.0 і новіші.

                На крипторинку залишився один каталізатор, який потрібно врахувати — і він надійде в неділю

Чому відповідь з боку управління важлива

Технічне виправлення — лише одна частина цієї історії. Решта — відповідь з боку управління. XRPL усунув критичну вразливість без хардфорку, без розділення ланцюга і без будь-якого періоду простою мережі. Процес внесення поправок, який критики XRPL інколи описують як повільний або надто обережний, ефективно впорався з по-справжньому серйозною проблемою безпеки — і без будь-якої побічної шкоди для користувачів.

Для інституційних учасників, які використовують інфраструктуру платежів Ripple, цей результат має реальну вагу. Можливість великої мережі Layer 1 виправити критичну ваду на рівні логіки коду до експлуатації через упорядкований процес консенсусу валідаторів — це саме той операційний досвід, який має значення, коли розмова переходить до інституційного впровадження у масштабі.

Загальніший сигнал

Цей інцидент є одним із найзначніших ранніх прикладів, коли інструменти аудиту на базі генеративного ШІ виявляли вразливості в продакшн-блокчейн-інфраструктурі, які пропустила людська перевірка. Суть не в тому, що людські аудитори застаріли. Суть у тому, що поєднання формальної верифікації на машинному масштабі та людської експертизи створює істотно надійніший стан безпеки, ніж кожна з цих складових дає окремо.