גילוי פגם אבטחה חמור ב-XRPL: תוקן לפני פגיעה ברשת המרכזית
פגם אבטחה משמעותי התגלה בשדרוג המוצע ל-XRP Ledger (XRPL), עלול היה לאפשר לתוקפים לבצע עסקאות לא מאושרות ברשת הבלוקצ'יין. למרבה המזל, החוקרים התריעו על הבעיה לפני שהספיקה להשפיע על הרשת המרכזית, ומנעו פגיעה פוטנציאלית חמורה.
קרן XRPL הודיעה ב-26 בפברואר על מציאת תקלה בתיקון המוצע בשם "Batch". תכונה זו נועדה לאפשר למשתמשים לאגד מספר פעולות לעסקה אטומית אחת, אך הפגם היה עלול לאפשר לתוקפים לבצע עסקאות פנימיות כאילו אושרו על ידי חשבונות אחרים, ללא גישה למפתחות הפרטיים של המשתמשים.
פרנמיה קשקמט, חוקר אבטחה, וכלי ניתוח סטטי אוטונומי של Cantina AI בשם Apex, דיווחו על הבעיה ב-19 בפברואר. הדו"ח שלהם ציין כי התוקף יכול היה לבצע עסקאות תשלום פנימיות שרוקנו את חשבונות הקורבן עד לרזרבה, ולבצע פעולות נוספות ללא אישור.
התקלה נבעה משגיאה בפונקציה שמאמתת חותמי batch. כאשר המערכת נתקלת בחתם שחשבונו לא קיים עדיין, היא מאשרת את העסקה ללא בדיקה נוספת, מצב מסוכן במיוחד במערכת batching. אם התיקון היה מופעל לפני שהתקלה נתפסה, ההשלכות יכלו להיות חמורות.
המקרה הזה מגיע בזמן ש-XRPL מתמקדת בשימושים כמו אסימון נכסים בעולם האמיתי (RWA) ו-DeFi מוסדי, שם אבטחה ואמינות הן קריטיות לאימוץ מוסדי. כשל באישור יכול היה לפגוע בנרטיב האבטחה של XRPL וליצור נזק תדמיתי, גם אם ההפסדים היו מוגבלים.
בתגובה, XRPL פעלה במהירות דרך ערוצי ממשל ותוכנה. גרסת חירום של rippled, 3.1.1, סומנה את Batch כלא נתמכת, ונמנע מהתיקון לקבל קולות מאמתים או להיות מופעלת ברשת. בנוסף, תחליף מתוקן, BatchV1_1, יושם ונמצא בבדיקה.
תוצאות האירוע הזה תחשבנה כהצלחה בפעולות הממשל של XRPL, שכן התקלה נמצאה ותוקנה מבעוד מועד, ללא אובדן כספים. עם זאת, האתגרים העתידיים כוללים את הצורך להוכיח את יכולת המערכת להמשיך ולהתפתח, תוך שמירה על סטנדרטים גבוהים של אבטחה.
האירוע הזה מדגיש את החשיבות של מערכת אבטחה חזקה בעת פיתוח תשתיות פיננסיות מבוססות בלוקצ'יין. ככל ש-XRPL תמשיך לגדול ולמשוך קהל מוסדי, יהיו לה אתגרים רבים בהבטחת האבטחה והאמינות של המערכת.