Ferramenta de IA detecta bug crítico no XRP Ledger antes que os hackers tivessem oportunidade de explorá-lo

• Anúncio -

Uma ferramenta de auditoria de segurança orientada por IA identificou uma vulnerabilidade crítica de double-spend no XRP Ledger em fevereiro de 2026, potencialmente evitando a perda de centenas de milhões de ativos dos utilizadores antes de qualquer carteira ter sido sequer tocada.

O que o Bug fez de facto

A vulnerabilidade estava na intersecção de duas funcionalidades específicas do XRPL: Pagamentos Parcial e certa lógica de contratos inteligentes estilo escrow. Por si só, nenhuma das duas funcionalidades era o problema. Combinadas sob condições específicas, criaram um caminho de exploração que poderia ter permitido a um atacante enganar o ledger para registar um pagamento como totalmente liquidado enquanto apenas uma fração do XRP pretendido era efetivamente transferida.

O alvo prático de um tal exploit seriam market makers automatizados e bolsas descentralizadas a operar no ledger. Ambos dependem de uma lógica de liquidação precisa para funcionar corretamente. Uma transação que parece estar completa mas entrega apenas um valor parcial é exatamente o tipo de discrepância que drena liquidez de AMMs e DEXs antes de alguém se aperceber de que a contabilidade está errada.

O bug não era simples. Exigiu simular interações de casos-limite que processos de auditoria humana padrão raramente detetam — e é precisamente por isso que passou despercebido até que uma ferramenta de segurança por IA o encontrou.

Como foi encontrado e corrigido

A descoberta é atribuída a uma ferramenta de auditoria por IA que utiliza metodologia de verificação formal, alegadamente proveniente de uma empresa a operar no espaço da CertiK ou Immunefi. A verificação formal funciona através da modelação matemática do comportamento do código ao longo de bilhões de estados possíveis de transação, incluindo combinações que os auditores humanos não pensariam testar porque ficam fora dos padrões de utilização normais. A vulnerabilidade estava numa dessas combinações.

Após a descoberta, a XRPL Foundation e a equipa de engenharia da Ripple trabalharam em privado com a empresa de segurança para desenvolver um patch antes de qualquer divulgação pública. A correção foi então submetida através do processo de governação padrão de alterações do XRPL, que exige 80% de consenso da rede de validadores num período de 14 dias para ser adotada. A alteração foi aprovada. Não se perdeu nenhum fundo. Zero.

A correção está integrada na versão 2.3.0 do rippled e em versões superiores.

                O Mercado Cripto tem um Único Catalisador para Precificar e Chega Domingo

Por que a Resposta de Governaça Importa

A correção técnica é uma parte da história. A resposta de governação é a outra. O XRPL resolveu uma vulnerabilidade crítica sem hard fork, sem split da cadeia e sem qualquer período de indisponibilidade da rede. O processo de alteração, que alguns críticos do XRPL por vezes caracterizam como lento ou excessivamente conservador, tratou de forma eficiente e sem danos colaterais para os utilizadores um problema de segurança genuinamente grave.

Para participantes institucionais que utilizam a infraestrutura de pagamentos da Ripple, esse resultado tem um peso real. A capacidade de uma grande rede Layer 1 corrigir uma falha crítica ao nível da lógica do código, antes da exploração, através de um processo ordenado de consenso entre validadores, é o tipo de histórico operacional que importa quando a conversa muda para a adoção institucional em escala.

O Sinal Mais Amplo

Este incidente representa um dos exemplos iniciais mais significativos de ferramentas de auditoria de IA generativa a identificar vulnerabilidades na infraestrutura blockchain em produção que a revisão humana não detetou. A implicação não é que os auditores humanos sejam obsoletos. É que a combinação de verificação formal à escala da máquina e de peritagem humana cria uma postura de segurança substancialmente mais robusta do que qualquer uma das abordagens produz sozinha.