AI 工具在黑客有機會行動之前捕捉到 XRP 升級的關鍵漏洞

• 廣告 -

一款由 AI 驅動的安全稽核工具在 2026 年 2 月於 XRP Ledger 中辨識出一項關鍵的「雙重支出」（double-spend）漏洞，可能在任何單一錢包尚未遭到觸及之前，就先避免損失高達數億美元規模的使用者資產。

Bug 實際上做了什麼

該漏洞位於兩項特定 XRPL 功能的交集：部分付款（Partial Payments）以及某些以託管（escrow）風格的智慧合約邏輯。單獨來看，這兩項功能都不是問題。當它們在特定條件下組合在一起時，便形成了一條可被利用的路徑：攻擊者有可能誘使帳本（ledger）在實際只有一小部分預定的 XRP 真正移動的情況下，仍將一筆付款記錄為已被完全結算。

這類利用的實際目標很可能是運作於該帳本之上的自動化市價商（automated market makers）與去中心化交易所（decentralized exchanges）。兩者都仰賴精準的結算邏輯才能正確運作。一筆看起來已完整完成結算、卻實際只交付部分價值的交易，正是這種差異：會在任何人察覺帳務出錯之前，先把流動性從 AMM 與 DEX 中掏空。

這個漏洞並不簡單。它需要模擬標準的人類稽核流程極少觸及的邊界情況互動；也正因如此，直到一款 AI 安全工具找出它之前，它一直未被發現。

如何被發現與修復

這項發現被歸功於一款使用形式化驗證（formal verification）方法學的 AI 稽核工具，據稱來自一間在 CertiK 或 Immunefi 領域運作的公司。形式化驗證的運作方式，是以數學方式建模程式在跨越數十億種可能的交易狀態中的行為；其中包含人類稽核者不會想到去測試、因為它們落在非正常使用模式之外的組合。該漏洞就存在於這些組合之一。

一經發現，XRPL Foundation 與 Ripple 的工程團隊便在任何公開披露之前，與該安全公司私下合作以制定修補程式。隨後，修復方案透過 XRPL 的標準修正（amendment）治理流程提交；該流程要求在 14-day 期間內由驗證者網路取得 80% 的共識，方能被採納。該修正案通過了。沒有資金損失。零。

該修復已整合進 rippled 2.3.0 版本及以上版本。

                加密市場只剩一個催化劑需要納入定價，而它將於週日到來

為什麼治理回應很重要

技術層面的修復只是故事的一部分。治理回應則是另一部分。XRPL 在不進行硬分叉（hard fork）、不發生鏈分裂（chain split）、也不出現任何網路停機期間的情況下，解決了一項關鍵漏洞。修正案流程——XRPL 的批評者有時會將其描述為緩慢或過度保守——卻以高效率處理了一個確實嚴重的安全問題，且未對使用者造成任何附帶損害。

對使用 Ripple 支付基礎設施的機構參與者而言，這個結果具有實質分量。當談話轉向在大規模上採用機構（institutional adoption）時，能夠讓一個主要第 1 層（Layer 1）網路在遭到利用之前，透過有序的驗證者共識流程，從程式碼邏輯層面修補關鍵缺陷——這類作業層級的執行紀錄才是人們真正會在意的。

更廣泛的訊號

這起事件代表了較為重要的早期案例之一：生成式 AI 稽核工具在人工審查未能發現的情況下，辨識出產品級區塊鏈基礎設施中的漏洞。其意涵並不是指人類稽核者已經不再需要。重點在於：在機器規模下進行的形式化驗證，結合人類專業知識，能夠形成比任一方單獨所產生的效果更為實質強韌的安全態勢。