XRP 鏈(XRPL)正根據 RippleX 工程主管 Ayo Akinyele 的說法,隨著透過借貸協定(XLS-66)與單一資產金庫(XLS-65)升級而擴展至去中心化金融(DeFi),實施多層次的安全框架。2025 年底,RippleX 與 Immunefi 合作,推出一場公開 Attackathon,提供 20 萬 RLUSD 的獎金池;活動吸引超過 130 位安全研究人員,他們分析了近 35,500 行 C 與 C++ 程式碼,並找出數十項有效的漏洞,這些漏洞在進一步部署前已獲得修復。擴大的安全做法結合形式化驗證、多次獨立稽核、AI 輔助分析、驗證者審查、模糊測試、社群測試、漏洞賞金計畫以及對抗性資安演練,用以因應原生借貸功能所引入的更廣泛攻擊面。
XRPL 為 DeFi 協定升級實施多層次安全框架
隨著 XRPL 從支付領域擴展到原生借貸、借款以及具機構等級的 DeFi 能力,RippleX 正強化其安全策略。借貸協定(XLS-66)與單一資產金庫(XLS-65)將借貸功能直接導入帳本,擴大網路的攻擊面,並要求更高標準的測試與驗證。
Akinyele 表示,安全性不能仰賴單一稽核或最終檢查,而必須透過持續測試、獨立驗證以及多層防禦來建構。這種深度防禦(defense-in-depth)做法認知到,沒有任何單一安全措施能夠單獨達成足夠的保護。透過結合不同的審查流程,RippleX 旨在降低共識失敗、經濟型漏洞利用以及新功能之間出現非預期交互作用的風險。
隨著 AI 供能工具加速漏洞發現,並讓更進階的攻擊變得更容易取得,對更強安全實務的需求也隨之提升。作為回應,RippleX 已將安全進一步推進到開發流程之中,聚焦於在應用程式部署之前找出弱點。
Immunefi Attackathon 在 XRPL 程式碼庫中識別出數十項漏洞
借貸協定與單一資產金庫成為首批接受擴大安全框架的 XRPL 修正案。2025 年底,RippleX 與 Immunefi 合作,推出一場提供 20 萬 RLUSD 獎金池的公開 Attackathon,向全球安全研究人員開放 XRPL 的程式碼庫。
超過 130 位研究人員分析了近 35,500 行 C 與 C++ 程式碼,並提交了數百份報告。經過審查後,識別出數十項有效漏洞,其中包含關鍵問題,這些問題在進一步部署進展之前就已獲得修復。
額外的測試也揭露了傳統審查可能會遺漏的風險。AI 供能的紅隊演練顯示與錯誤的系統假設、潛在垃圾訊息攻擊以及節點穩定性風險相關的漏洞。獨立研究人員也識別出一個與金庫相關的攻擊情境,該情境可能會影響使用者資金,使得 RippleX 工程師能夠在啟用前處理該問題。
社群測試與驗證者審查驗證 XRPL 協定升級
由社群驅動的測試強化了對升級的信心。XRPL Commons 在交易類型與對抗情境上進行了數百個測試案例,並達成完整驗證成功。驗證者測試與廣泛的模糊測試也進一步增加了保證層次。
對 RippleX 而言,該安全框架為未來 XRPL 升級建立了新的基準:重大功能在接受重疊的嚴密檢視時,不再僅依賴彼此孤立的審查。隨著 XRP Ledger 從以支付為主的區塊鏈演進為能夠支援進階金融基礎設施的平台,這種以安全為優先的做法正逐步成為其開發策略的核心部分。
FAQ
XRPL Attackathon 是什麼?何時推出?
XRPL Attackathon 是 RippleX 在 2025 年底與 Immunefi 合作推出的一項公開資安測試計畫。它提供 20 萬 RLUSD 的獎金池,並吸引超過 130 位安全研究人員;這些研究人員在 XRP Ledger 的程式碼庫中分析了近 35,500 行 C 與 C++ 程式碼,識別出數十項有效漏洞,並已在進一步部署前獲得修復。
在 XRP Ledger 中,XLS-66 與 XLS-65 是什麼?
XLS-66 為借貸協定,XLS-65 為單一資產金庫;這兩項重大 XRPL 升級將借貸功能直接導入帳本。這些修正案是首批接受 RippleX 擴大多層次安全框架的項目,該框架包含形式化驗證、多次獨立稽核、AI 輔助分析、驗證者審查、模糊測試、社群測試、漏洞賞金計畫以及對抗性資安演練。
在 XRPL 的安全測試中,發現了多少項漏洞?
在 Attackathon 以及額外的測試階段中,識別出數十項有效漏洞,其中包含關鍵問題,這些問題都已在進一步部署進展前獲得修復。AI 供能的紅隊演練顯示與錯誤的系統假設、潛在垃圾訊息攻擊以及節點穩定性風險相關的漏洞;同時,獨立研究人員也識別出一個與金庫相關的攻擊情境,該情境可能會影響使用者資金。
