Інструмент штучного інтелекту виявив критичну помилку в XRP Ledger до того, як її могли використати хакери

• Оголошення -

Інструмент безпекового аудиту, керований ШІ, виявив критичну вразливість подвійного витрачання в XRP Ledger у лютому 2026 року, потенційно запобігши втраті сотень мільйонів у активах користувачів ще до того, як було торкнутося хоча б одного гаманця.

Що саме зробила помилка

Вразливість містилася на перетині двох конкретних функцій XRPL: Часткових платежів і певної логіки смартконтрактів у стилі ескроу. Самі по собі жодна з цих функцій не була проблемою. У поєднанні за певних умов вони створили шлях для експлойту, який міг би дозволити зловмиснику змусити реєстр записати платіж як повністю врегульований, тоді як фактично перемістилася лише частина запланованих XRP.

Практичною мішенню для такого експлойту могли б стати автоматизовані маркет-мейкери та децентралізовані біржі, що працюють у межах реєстру. Усі вони покладаються на точну логіку врегулювання, щоб працювати коректно. Транзакція, яка виглядає завершеною, але передає лише часткову цінність, — це саме той тип розбіжності, який вимиває ліквідність із AMM та DEX ще до того, як хтось помітить, що бухгалтерія неправильна.

Помилка була не простою. Вона вимагала симуляції взаємодій у крайових сценаріях, які стандартні процеси людського аудиту рідко виявляють, і саме тому її не було помічено, доки інструмент безпеки на базі ШІ не знайшов її.

Як це виявили та як виправили

Звіт про відкриття приписують AI-інструменту аудиту, який використовує методологію формальної верифікації — як повідомляють, з компанії, що працює в просторі CertiK або Immunefi. Формальна верифікація працює шляхом математичного моделювання поведінки коду в ході мільярдів можливих станів транзакцій, включно з комбінаціями, які людські аудитори не подумали б перевіряти, бо вони виходять за межі звичних патернів використання. Вразливість містилася в одній із таких комбінацій.

Після виявлення XRPL Foundation і інженерна команда Ripple працювали приватно з компанією з безпеки, щоб розробити патч ще до будь-якого публічного розкриття. Після цього виправлення було подано через стандартний процес внесення змін до XRPL (амендментів), який передбачає 80% консенсусу від мережі валідаторів протягом 14-денного періоду, щоб зміна була прийнята. Амендмент пройшов. Кошти не були втрачені. Нуль.

Виправлення інтегроване в rippled версії 2.3.0 і вище.

                У крипторинку залишився один каталізатор, який ще треба врахувати в ціні, і він прибуде в неділю

Чому відповідь щодо управління (governance) має значення

Технічне виправлення — це лише частина історії. А відповідь щодо управління (governance) — інша. XRPL усунув критичну вразливість без хардфорку, без розколу ланцюга (chain split) і без жодного періоду простою мережі. Процес внесення змін, який критики XRPL іноді описують як повільний або надто консервативний, ефективно опрацював по-справжньому серйозну проблему безпеки — і без будь-якої побічної шкоди для користувачів.

Для інституційних учасників, які використовують платіжну інфраструктуру Ripple, цей результат має реальну вагу. Можливість великої мережі Layer 1 виправити критичну ваду на рівні логіки коду до експлуатації — через упорядкований консенсус валідаторів, — це той тип операційного послужного списку, який справді важливий, коли розмова зміщується в бік інституційного впровадження у масштабі.

Ширший сигнал

Ця подія є одним із найзначніших ранніх прикладів того, як інструменти аудиту на базі генеративного ШІ виявляють вразливості в продакшн-блокчейн-інфраструктурі, які пропустив людський огляд. Висновок не в тому, що людські аудитори застаріли. Висновок у тому, що поєднання формальної верифікації на машинному масштабі та людської експертизи формує суттєво сильнішу позицію безпеки, ніж кожен підхід дає сам по собі.