XRP Ledger แก้ไขช่องโหว่สำคัญได้ทันเวลาพอดี
ช่องโหว่ร้ายแรงใน XRP Ledger อาจทำให้ผู้โจมตีสามารถถอนเงินออกไปได้โดยไม่ต้องใช้รหัสส่วนตัว ระบบรักษาความปลอดภัยที่ใช้ AI ช่วยเหลือได้ตรวจพบช่องโหว่นี้ก่อนที่จะเกิดความเสียหายใดๆ
Crypto Rich
กุมภาพันธ์ 27, 2026
(โฆษณา)
สารบัญ
ช่องโหว่ด้านความปลอดภัยที่สำคัญใน XRP Ledger การแก้ไข Batch ที่เสนออาจทำให้ผู้โจมตีสามารถทำธุรกรรมที่ไม่ได้รับอนุญาตจากบัญชีของเหยื่อได้ โดยไม่จำเป็นต้องใช้รหัสส่วนตัว ข้อบกพร่องนี้ถูกตรวจพบเมื่อวันที่ 19 กุมภาพันธ์ ก่อนที่การแก้ไขจะถูกนำไปใช้งานบนเมนเน็ต ซึ่งหมายความว่าไม่มีเงินทุนใดถูกละเมิด Hari Mulackal ซีอีโอของ Cantina กล่าวว่านี่อาจเป็น "การแฮ็กความปลอดภัยครั้งใหญ่ที่สุดเมื่อพิจารณาจากมูลค่าเป็นดอลลาร์" ในประวัติศาสตร์บล็อกเชน โดยมูลค่าตลาดของ XRP อยู่ที่ประมาณ 80 พันล้านดอลลาร์
ข้อผิดพลาดนั้นคืออะไรกันแน่?
ช่องโหว่นี้อยู่ภายในกระบวนการตรวจสอบลายเซ็นสำหรับธุรกรรมแบบกลุ่มใน Rippled เวอร์ชัน 3.1.0 ข้อผิดพลาดทางตรรกะในลูปการตรวจสอบทำให้เกิดเงื่อนไขการออกจากระบบก่อนกำหนด ซึ่งผู้โจมตีสามารถใช้ประโยชน์ได้
นี่คือวิธีการนำไปใช้จริง:
- ผู้โจมตีสามารถสร้างธุรกรรมแบบกลุ่มที่มีการดำเนินการภายใน (การชำระเงิน การแก้ไขบัญชี) ที่เชื่อมโยงกับบัญชีของเหยื่อได้
- ธุรกรรมดังกล่าวจะใช้การปลอมลายเซ็น
- ระบบตรวจสอบความถูกต้องที่ผิดพลาดจะตรวจสอบบัญชีที่ไม่มีอยู่จริง ทำให้เกิดการออกจากระบบก่อนกำหนด และข้ามขั้นตอนการตรวจสอบที่ถูกต้อง
- การดำเนินการที่ไม่ได้รับอนุญาตเหล่านั้นก็จะดำเนินต่อไปราวกับว่าเป็นการดำเนินการที่ถูกต้องตามกฎหมาย
หากถูกโจมตีหลังจากเปิดใช้งานแล้ว ผู้โจมตีอาจสามารถถอนเงินออกจากบัญชีจนเหลือแต่ยอดเงินสำรอง เปลี่ยนแปลงสถานะบัญชีผ่านธุรกรรมต่างๆ เช่น AccountSet หรือ TrustSet และอาจถึงขั้นลบบัญชีทิ้งไปโดยสิ้นเชิงได้
จับได้อย่างไร?
ปรานามยา เกศกามัต วิศวกรความปลอดภัยจาก Cantinaบริษัทรักษาความปลอดภัยที่เน้นด้านบล็อกเชนแห่งหนึ่ง ค้นพบช่องโหว่นี้โดยใช้เครื่องมือตรวจสอบที่ใช้ AI ของบริษัทชื่อ Apex การค้นพบนี้เกิดขึ้นระหว่างการวิเคราะห์โค้ดของ Rippled แบบคงที่
Apex ซึ่งได้รับการอธิบายว่าเป็นผู้ตรวจสอบความปลอดภัย AI แบบอัตโนมัติ ได้ตรวจพบข้อผิดพลาดทางตรรกะ จากนั้น Keshkamat และทีมได้ส่งรายงานการเปิดเผยข้อมูลอย่างรับผิดชอบ ทีมวิศวกรรมของ Ripple ได้ตรวจสอบความถูกต้องอย่างรวดเร็วโดยใช้การพิสูจน์แนวคิดและการทดสอบหน่วย
นี่เป็นตัวอย่างที่เป็นรูปธรรมของการรักษาความปลอดภัยโดยใช้ AI ซึ่งให้ผลลัพธ์ที่น่าพอใจ ไม่ใช่แค่การให้คำมั่นสัญญาเท่านั้น
การตอบกลับมาเร็วแค่ไหน?
ตั้งแต่เริ่มค้นพบจนถึงการเปิดเผยต่อสาธารณะ กระบวนการทั้งหมดใช้เวลาหนึ่งสัปดาห์
เมื่อวันที่ 19 กุมภาพันธ์ ซึ่งเป็นวันเดียวกับที่ Cantina รายงานข้อบกพร่อง ผู้ตรวจสอบความถูกต้องของ UNL ได้รับคำแนะนำให้ลงคะแนน "ไม่เห็นด้วย" กับการแก้ไข Batch หลายคนใช้สิทธิ์วีโต้ทันที
ค้นพบโครงการอันน่าตื่นเต้น...
โครงการอันน่าสัญญา...
(โฆษณา)
เมื่อวันที่ 23 กุมภาพันธ์ Ripple ได้ปล่อยแพทช์ฉุกเฉินสำหรับ Rippled เวอร์ชัน 3.1.1 การอัปเดตนี้ระบุว่าการแก้ไข Batch ไม่ได้รับการสนับสนุนอีกต่อไป และมีการแก้ไขชั่วคราวที่เรียกว่า fixBatchInnerSigs เพื่อบล็อกการเปิดใช้งาน
เมื่อวันที่ 26 กุมภาพันธ์ XRPL Labs การตีพิมพ์ เปิดเผยรายงานการเปิดเผยช่องโหว่ทั้งหมดต่อสาธารณะ
เกิดขึ้นต่อไปคืออะไร?
การแก้ไข Batch ยังไม่ถูกยกเลิก ทีมพัฒนา XRPL กำลังทำงานเกี่ยวกับเวอร์ชันทดแทนที่ชื่อว่า BatchV1_1 เวอร์ชันที่อัปเดตนี้จะลบเงื่อนไขการออกจากโปรแกรมก่อนกำหนด เพิ่มการตรวจสอบสิทธิ์ และปรับปรุงการตรวจสอบการลงนามให้เข้มงวดมากขึ้น ยังไม่มีกำหนดวันวางจำหน่ายที่แน่นอน และโค้ดยังอยู่ระหว่างการตรวจสอบ
ผู้ตรวจสอบความถูกต้องควรทำการอัปเกรดเป็น Rippled 3.1.1 ทันที ผู้ใช้ทั่วไปไม่จำเป็นต้องดำเนินการใดๆ เนื่องจากช่องโหว่นี้ไม่เคยถูกใช้งานจริง แต่การติดตามช่องทางอย่างเป็นทางการของ XRPL สำหรับการอัปเดต BatchV1_1 ก็เป็นความคิดที่ดี
ทำไมเรื่องนี้?
นี่เป็นหนึ่งในเหตุการณ์เฉียดฉิวที่ควรทำให้ทั้งอุตสาหกรรมหันมาใส่ใจ บั๊กดังกล่าวอยู่ในโค้ดที่กำลังอยู่ในขั้นตอนการลงคะแนนเพื่อเปิดใช้งานบนเมนเน็ต หากจังหวะเวลาแตกต่างกันเพียงไม่กี่วัน ผลลัพธ์อาจแตกต่างไปอย่างสิ้นเชิง
ข้อเท็จจริงที่ว่าเครื่องมือ AI มีบทบาทสำคัญในการตรวจจับนั้นมีความสำคัญอย่างยิ่ง การตรวจสอบโดยบุคคลที่สามมีความสำคัญในวงการคริปโตมาโดยตลอด แต่การตรวจสอบโดยใช้ AI ช่วยเหลือได้พิสูจน์แล้วว่าสามารถตรวจจับสิ่งต่างๆ ที่ผู้ตรวจสอบที่เป็นมนุษย์อาจมองข้ามไปในระหว่างการตรวจสอบโค้ดตามปกติได้
XRPL Labs ยอมรับว่าเหตุการณ์นี้จะผลักดันให้เกิดการปรับปรุงกระบวนการตรวจสอบโค้ดอย่างต่อเนื่อง สำหรับระบบนิเวศที่จัดการมูลค่าหลายหมื่นล้านดอลลาร์ นี่ไม่ใช่ทางเลือก แต่เป็นเรื่องของการอยู่รอด
แหล่งที่มา:
- Cointelegraph รายงานเกี่ยวกับการค้นพบโดยวิศวกรด้านความปลอดภัยและเครื่องมือ AI ของ Cantina ที่ชื่อ Apex รวมถึงคำกล่าวจากซีอีโอ Hari Mulackal
- บล็อก XRPL Labs รายงานการเปิดเผยช่องโหว่อย่างเป็นทางการ พร้อมรายละเอียดทางเทคนิค แผนการแก้ไข และคำแนะนำจากผู้ตรวจสอบ
ข้อจำกัดความรับผิดชอบ
คำเตือน: มุมมองที่แสดงในบทความนี้ไม่จำเป็นต้องแสดงถึงมุมมองของ BSCN ข้อมูลในบทความนี้มีไว้เพื่อวัตถุประสงค์ด้านการศึกษาและความบันเทิงเท่านั้น และไม่ควรตีความว่าเป็นคำแนะนำด้านการลงทุนหรือคำแนะนำใดๆ BSCN จะไม่รับผิดชอบต่อการตัดสินใจลงทุนใดๆ ที่เกิดขึ้นจากข้อมูลในบทความนี้ หากคุณเชื่อว่าควรแก้ไขบทความนี้ โปรดติดต่อทีมงาน BSCN โดยส่งอีเมลไปที่ [ป้องกันอีเมล].
ผู้เขียน
Crypto Richริชทำการวิจัยเกี่ยวกับเทคโนโลยีคริปโทเคอร์เรนซีและบล็อกเชนมาเป็นเวลาแปดปี และดำรงตำแหน่งนักวิเคราะห์อาวุโสที่ BSCN นับตั้งแต่ก่อตั้งในปี 2020 เขามุ่งเน้นไปที่การวิเคราะห์พื้นฐานของโครงการคริปโทและโทเคนในระยะเริ่มต้น และได้เผยแพร่รายงานการวิจัยเชิงลึกเกี่ยวกับโปรโตคอลใหม่กว่า 200 รายการ นอกจากนี้ ริชยังเขียนเกี่ยวกับแนวโน้มทางเทคโนโลยีและวิทยาศาสตร์ในวงกว้าง และยังคงมีส่วนร่วมในชุมชนคริปโทผ่าน X/Twitter Spaces และกิจกรรมชั้นนำในอุตสาหกรรม
(โฆษณา)
ข่าวล่าสุด
March 6, 2026
เหล่านักขุด Bitcoin กำลังเทขาย BTC: แรงกดดันในการขายกำลังเข้ามา
March 6, 2026
ความสัมพันธ์พิเศษของ Coinbase กับประธานาธิบดีทรัมป์
March 6, 2026
แพลตฟอร์ม AI 'Shelby' ของ Aptos เปิดให้บุคคลทั่วไปเข้าใช้งานก่อนวางจำหน่ายแล้ว
March 6, 2026
บาร์เคลย์สกำลังนำเทคโนโลยีบล็อกเชนมาใช้: สิ่งที่เราทราบ
March 6, 2026
การอัปเกรด Alpenglow Consensus: SOL จะเร็วขึ้นกว่าเดิมอีกหรือไม่?!
March 6, 2026
Vitalik Buterin ได้ขีดเส้นแบ่งที่ชัดเจนระหว่างความสะดวกสบายของ AI กับความหายนะทางการเงิน
March 6, 2026
Ripple และ Coinbase มอบสิ่งที่สถาบันการเงินเรียกร้องมานานที่สุดให้แล้ว
March 6, 2026
เวลาเหลือน้อยลงทุกทีสำหรับกฎหมายคริปโตเคอร์เรนซีของสหรัฐฯ และธนาคารต่างๆ ก็เพิ่งกดปุ่มเลื่อนปลุก
(โฆษณา)
ข่าว Crypto ล่าสุด
รับข้อมูลอัปเดตเกี่ยวกับข่าวสารและกิจกรรมด้านคริปโตล่าสุด
