Інструмент штучного інтелекту виявив критичну помилку в XRP Ledger до того, як її могли використати хакери

• Оголошення -

AI-орієнтований інструмент для аудиту безпеки виявив критичну вразливість подвійної витрати (double-spend) у XRP Ledger у лютому 2026 року, потенційно запобігши втраті сотень мільйонів у активах користувачів ще до того, як хоча б одне гаманцеве сховище було торкнуте.

Що насправді зробив баг

Вразливість лежала на перетині двох конкретних функцій XRPL: Часткових платежів (Partial Payments) і певної логіки смартконтрактів у стилі ескроу. Самі по собі жодна з цих функцій не була проблемою. У поєднанні за певних умов вони створили шлях експлойту, який міг дозволити зловмиснику змусити реєстр (ledger) записати платіж як повністю виконаний, хоча фактично переїхала лише частина від запланованих XRP.

Практичною мішенню для такого експлойту були б автоматизовані маркет-мейкери та децентралізовані біржі, що працюють у межах цього реєстру. Вони спираються на точну логіку розрахунків, щоб коректно функціонувати. Транзакція, яка виглядає як завершена, але натомість доставляє лише часткову вартість, — це саме той тип невідповідності, який висушує ліквідність для AMMs і DEXs, перш ніж хтось помітить, що бухгалтерія неправильна.

Баг не був простим. Він вимагав моделювання взаємодій у граничних сценаріях, які стандартні процеси аудиту людьми рідко виявляють — і саме тому він залишався непоміченим, доки його не знайшов AI-інструмент з безпеки.

Як це виявили та виправили

Виявлення приписують AI-інструменту для аудиту, що використовував методологію формальної верифікації, як повідомляється, від компанії, яка працює в просторі CertiK або Immunefi. Формальна верифікація працює шляхом математичного моделювання поведінки коду між мільярдами можливих станів транзакцій, включно з комбінаціями, які людські аудитори не подумали б перевіряти, бо вони виходять за межі нормальних моделей використання. Вразливість була захована в одній із таких комбінацій.

Після виявлення XRPL Foundation і інженерна команда Ripple приватно працювали з компанією з безпеки, щоб розробити патч ще до будь-якого публічного розкриття. Потім виправлення було подано через стандартний процес управління змінами (XRPL’s standard amendment governance process), який вимагає 80% консенсусу від мережі валідаторів протягом 14-денного періоду, щоб його було прийнято. Зміна пройшла. Засобів втрачено не було. Нуль.

Виправлення інтегровано в rippled версії 2.3.0 та вище.

                У крипторинку лишився один каталізатор для ціноутворення — і він настане в неділю

Чому відповідь на рівні управління має значення

Технічне виправлення — лише частина цієї історії. Інша частина — відповідь на рівні управління. XRPL усунув критичну вразливість без хардфорку, без розколу ланцюга та без будь-якого періоду простою мережі. Процес ухвалення зміни, який критики XRPL інколи описують як повільний або надмірно консервативний, ефективно обробив по-справжньому серйозну проблему безпеки та без будь-якої побічної шкоди для користувачів.

Для інституційних учасників, які використовують платіжну інфраструктуру Ripple, такий результат має реальну вагу. Можливість великої мережі рівня 1 (Layer 1) виправити критичний дефект на рівні логіки коду до експлуатації — через впорядкований консенсус валідаторів — це саме той тип операційного послужного запису, який має значення, коли розмова переходить до інституційного впровадження в масштабі.

Загальний сигнал

Цей інцидент є одним із помітніших ранніх прикладів того, як інструменти аудиту генеративного ШІ виявляють вразливості в продакшн-блокчейн-інфраструктурі, які пропустив людський огляд. Висновок не в тому, що людські аудитори застаріли. Радше в тому, що поєднання формальної верифікації на машинному масштабі та людської експертизи формує суттєво сильнішу позицію безпеки, ніж кожен із цих підходів дає окремо.