AI工具在黑客之前捕获XRP账本关键漏洞

• 广告 -

一款由人工智能驱动的安全审计工具在2026年2月识别出XRP Ledger中的一个关键双重支付漏洞，可能在尚未触及任何单一钱包之前，就避免了用户资产损失数亿美元。

这个漏洞实际上做了什么

该漏洞位于两项特定的XRPL功能的交汇处：部分支付（Partial Payments）以及某些类似托管（escrow）的智能合约逻辑。单独来看，这两项功能都不是问题所在。只有在特定条件下将它们组合在一起，才会形成一条可被利用的路径——攻击者有可能让账本将一笔支付记录为“已完全结算”，但实际上只有一部分原本应转移的XRP真正发生了转账。

这种利用的实际目标很可能是依赖账本运行的自动化做市商（AMM）以及去中心化交易所（DEX）。两者都依赖精确的结算逻辑才能正常运作。所谓“看起来已完成、却只交付了部分价值”的交易，正是那种在任何人发现账务不对之前，就会从AMM和DEX中抽走流动性的差异。

这个漏洞并不简单。它需要模拟标准的人类审计流程很少会触及的边缘情况交互，而这正是它一直未被发现的原因，直到某个AI安全工具找到了它。

它是如何被发现并修复的

该发现归功于一款采用形式验证（formal verification）方法的AI审计工具，据报道来自一家在CertiK或Immunefi领域运营的公司。形式验证的工作方式是：在数学模型中刻画代码在数十亿种可能的交易状态下的行为，包括人类审计员不会想到去测试的组合——因为这些组合不属于正常使用模式。该漏洞就隐藏在这些组合之一中。

一旦发现，XRPL基金会与Ripple的工程团队就与该安全公司私下合作，在任何公开披露之前先开发并完成补丁。随后，这项修复通过XRPL的标准修正案（amendment）治理流程提交；该流程要求验证者网络在14天的周期内达成80%的共识才能被采纳。修正案获得通过。没有资金损失。为零。

该修复已集成到rippled版本2.3.0及更高版本中。

                加密货币市场还剩下一个催化剂需要定价，而它将在周日到来

为什么治理响应至关重要

技术修复只是故事的一部分。治理响应是另一部分。XRPL在没有硬分叉、没有链分裂、也没有任何网络停机的情况下，解决了一个关键漏洞。尽管XRPL的批评者有时会把修正案流程形容为缓慢或过于保守，但它仍然以高效的方式处理了一个真正严重的安全问题，并且没有对用户造成任何附带损害。

对于使用Ripple支付基础设施的机构参与者而言，这一结果具有真正的分量。一个主要的Layer 1网络能够在被利用之前，通过有序的验证者共识流程，在代码逻辑层面修补关键缺陷——当行业讨论开始转向大规模机构采用时，这种运行记录就格外重要。

更广泛的信号

此次事件是生成式AI审计工具识别出生产级区块链基础设施漏洞、而这些漏洞又被人类审查遗漏的更重要的早期案例之一。其含义并不是人类审计员已经过时，而是：在机器规模上实现的形式验证与人类专业知识的结合，能带来比单靠任何一种方法都更显著的安全防护态势。