لجر XRP به موقع آسیب پذیری عمده را برطرف کرد
یک اشکال بحرانی در دفتر کل XRP میتوانست به مهاجمان اجازه دهد بدون داشتن کلیدهای خصوصی، وجوه را تخلیه کنند. امنیت با کمک هوش مصنوعی قبل از هرگونه آسیبی آن را شناسایی کرد.
Crypto Rich
27 فوریه، 2026
(تبلیغات)
فهرست مندرجات
یک نقص امنیتی بحرانی در دفتر کل XRP اصلاحیه پیشنهادی دستهای میتوانست به مهاجمان اجازه دهد تراکنشهای غیرمجاز را از حسابهای قربانی، بدون نیاز به کلیدهای خصوصی، انجام دهند. این اشکال در 19 فوریه قبل از اجرای اصلاحیه در شبکه اصلی کشف شد، به این معنی که هیچ وجهی به خطر نیفتاد. هری مولاکال، مدیرعامل کانتینا، آن را یک مدعی بالقوه برای "بزرگترین هک امنیتی از نظر ارزش دلاری" در تاریخ بلاکچین نامید، با توجه به اینکه ارزش بازار XRP حدود 80 میلیارد دلار است.
دقیقاً چه اشکالی وجود داشت؟
این آسیبپذیری در فرآیند اعتبارسنجی امضا برای تراکنشهای دستهای در نسخه ۳.۱.۰ ریپلد وجود داشت. یک خطای منطقی در حلقه اعتبارسنجی، شرایط خروج زودهنگام را ایجاد میکرد که مهاجمان میتوانستند از آن سوءاستفاده کنند.
در عمل اینگونه عمل کرد:
- یک مهاجم میتواند یک تراکنش دستهای شامل عملیات داخلی (پرداختها، تغییرات حساب) مرتبط با حساب قربانی ایجاد کند.
- این تراکنش از یک ورودی امضاکننده جعلی استفاده میکند.
- اعتبارسنجی ناقص، یک حساب کاربری ناموجود را بررسی میکند، خروج زودهنگام را فعال میکند و از تأیید صحیح صرفنظر میکند.
- سپس عملیات غیرمجاز طوری انجام میشوند که انگار قانونی بودهاند.
اگر پس از فعالسازی مورد سوءاستفاده قرار میگرفت، مهاجمان میتوانستند موجودی حسابها را تا حد ذخیرهشان کاهش دهند، وضعیت دفتر کل را از طریق تراکنشهایی مانند AccountSet یا TrustSet تغییر دهند و حتی بهطور بالقوه حسابها را بهطور کامل حذف کنند.
چگونه گرفتار شد؟
مهندس امنیت Pranamya Keshkamat از سالن غذاخوری، یک شرکت امنیتی متمرکز بر بلاکچین، این نقص را در کنار ابزار حسابرسی مبتنی بر هوش مصنوعی این شرکت به نام Apex پیدا کرد. این کشف طی یک تحلیل استاتیک از کدبیس ریپلد (Rippled) انجام شد.
Apex که به عنوان یک حسابرس امنیتی هوش مصنوعی مستقل توصیف میشود، خطای منطقی را گزارش کرد. Keshkamat و تیمش سپس یک گزارش افشای مسئولانه ارائه دادند. تیمهای مهندسی ریپل به سرعت آن را با استفاده از یک اثبات مفهوم و آزمایشهای واحد تأیید کردند.
این یک نمونهی عینی از امنیت مبتنی بر هوش مصنوعی است که نه تنها وعدهی نتایج را میدهد، بلکه آنها را به سرانجام میرساند.
چقدر سریع پاسخ آمد؟
از کشف تا افشای عمومی، کل این فرآیند یک هفته طول کشید.
در ۱۹ فوریه، همان روزی که کانتینا این نقص را گزارش داد، به اعتبارسنجهای UNL توصیه شد که به اصلاحیه Batch رأی «نه» بدهند. چندین نفر بلافاصله وتو کردند.
پروژههای امیدبخش را کشف کنید...
پروژههای نویدبخش ...
(تبلیغات)
در ۲۳ فوریه، ریپل یک وصله اضطراری با نسخه ۳.۱.۱ ریپل منتشر کرد. این بهروزرسانی، اصلاحیه دستهای را به عنوان غیرقابل پشتیبانی علامتگذاری میکند و یک راهحل موقت به نام fixBatchInnerSigs برای جلوگیری از فعالسازی ارائه میدهد.
در تاریخ ۲۶ فوریه، آزمایشگاههای XRPL منتشر شده گزارش کامل افشای آسیبپذیری به صورت عمومی.
بعد چه اتفاقی می افتد؟
اصلاحیه Batch هنوز از بین نرفته است. تیم توسعه XRPL در حال کار بر روی جایگزینی به نام BatchV1_1 است. نسخه بهروز شده، شرایط خروج زودهنگام را حذف میکند، محافظان مجوز را اضافه میکند و بررسیهای امضا را در همه زمینهها سختتر میکند. هنوز تاریخ انتشار مشخصی وجود ندارد و کد هنوز در دست بررسی است.
اعتبارسنجها باید فوراً به Rippled 3.1.1 ارتقا دهند. کاربران عادی نیازی به انجام هیچ اقدامی ندارند زیرا این نقص هرگز به صورت عمومی منتشر نشده است، اما بهتر است کانالهای رسمی XRPL را برای بهروزرسانیهای BatchV1_1 زیر نظر داشته باشند.
چرا این ماده؟
این یکی از آن اتفاقات قریبالوقوعی است که باید توجه کل صنعت را به خود جلب کند. این اشکال در کدی وجود داشت که به طور فعال برای فعالسازی شبکه اصلی در حال رأیگیری بود. اگر زمانبندی حتی چند روز متفاوت بود، نتیجه میتوانست بسیار متفاوت به نظر برسد.
این واقعیت که یک ابزار هوش مصنوعی نقش محوری در تشخیص آن داشته، قابل توجه است. حسابرسیهای شخص ثالث همیشه در حوزه کریپتو مهم بودهاند، اما حسابرسیهای مبتنی بر هوش مصنوعی ثابت میکنند که میتوانند مواردی را که ممکن است بررسیکنندگان انسانی در طول بررسی روتین کد از دست بدهند، تشخیص دهند.
آزمایشگاههای XRPL اذعان کردند که این حادثه باعث بهبود مستمر فرآیندهای بررسی کد آنها خواهد شد. برای اکوسیستمی که دهها میلیارد دلار ارزش را مدیریت میکند، این یک امر اختیاری نیست. این بقا است.
منابع:
- Cointelegraph گزارش کشف توسط مهندس امنیت و ابزار هوش مصنوعی Cantina، Apex، شامل نقل قولهایی از مدیرعامل Hari Mulackal
- وبلاگ آزمایشگاههای XRPL گزارش رسمی افشای آسیبپذیری به همراه جزئیات فنی، جدول زمانی رفع آسیبپذیری و توصیههای اعتبارسنج
رفع مسئولیت
سلب مسئولیت: دیدگاههای بیان شده در این مقاله لزوماً بیانگر دیدگاههای BSCN نیست. اطلاعات ارائه شده در این مقاله صرفاً برای اهداف آموزشی و سرگرمی است و نباید به عنوان مشاوره سرمایهگذاری یا هر نوع توصیهای تفسیر شود. BSCN هیچ مسئولیتی در قبال تصمیمات سرمایهگذاری اتخاذ شده بر اساس اطلاعات ارائه شده در این مقاله بر عهده نمیگیرد. اگر معتقدید که این مقاله باید اصلاح شود، لطفاً از طریق ایمیل با تیم BSCN تماس بگیرید. [ایمیل محافظت شده].
نویسنده
Crypto Richریچ به مدت هشت سال در زمینه فناوری ارزهای دیجیتال و بلاکچین تحقیق کرده و از زمان تأسیس BSCN در سال ۲۰۲۰ به عنوان تحلیلگر ارشد در آن خدمت کرده است. او بر تحلیل بنیادی پروژهها و توکنهای کریپتو در مراحل اولیه تمرکز دارد و گزارشهای تحقیقاتی عمیقی در مورد بیش از ۲۰۰ پروتکل نوظهور منتشر کرده است. ریچ همچنین در مورد فناوریهای گستردهتر و روندهای علمی مینویسد و از طریق X/Twitter Spaces و رویدادهای پیشرو در صنعت، مشارکت فعالی در جامعه کریپتو دارد.
(تبلیغات)
آخرین اخبار
۹ ساعت : ۳ دقیقه پیش
پایان ترس و تردید تتر؟ گواهی دیلویت برای USAT
۹ ساعت : ۳ دقیقه پیش
تغییرات عمده توکنومیک دلار دات: آیا زمان خوشبینی به پولکادات فرا رسیده است؟
۹ ساعت : ۳ دقیقه پیش
بایننس از برنامههای توسعه عظیم خود در آسیا رونمایی کرد
۹ ساعت : ۳ دقیقه پیش
کاخ سفید رسماً کوین وارش را برای ریاست فدرال رزرو نامزد کرد
۹ ساعت : ۳ دقیقه پیش
چینلینک به ویزا، ANZ و فیدلیتی کمک کرد تا کاری را انجام دهند که بانکها سالها در تلاش برای انجام آن بودند.
۹ ساعت : ۳ دقیقه پیش
مورگان استنلی با همکاری کوینبیس و بانک نیویورک ملون به عنوان متولی، ETF بیتکوین خود را به زمان عرضه نزدیکتر میکند.
۹ ساعت : ۳ دقیقه پیش
استیبل کوین Stripe شبکه سوئی فعال شد - و داستان بازده همه چیز را تغییر میدهد
مارس 4، 2026
۹۵ درصد بیتکوینها تاکنون استخراج شدهاند: شوک عرضه در راه است؟
(تبلیغات)
آخرین اخبار رمزنگاری
از آخرین اخبار و رویدادهای کریپتو مطلع شوید
