- 廣告 -* * * * * 一款由 AI 驅動的資安稽核工具於 2026 年 2 月在 XRP Ledger 中辨識出一項關鍵的雙重支出(double-spend)漏洞,可能在任何錢包被觸及之前,就預防了高達數億美元的使用者資產損失。這個 Bug 實際上做了什麼-------------------------該漏洞位於 **兩項特定 XRPL 功能** 的交集:部分付款(Partial Payments)以及某些以託管(escrow)風格的智慧合約邏輯。單獨來看,這兩項功能都不是問題所在。在特定條件下將它們結合,才產生了一條可被利用的路徑,使攻擊者有可能誘使帳本在「已完全結算」的狀態下記錄一筆付款,但實際移動的 XRP 只佔預期的一小部分。這種利用的實際目標很可能是帳本上的自動化做市商(automated market makers)與去中心化交易所(decentralized exchanges)。這兩者都依賴精準的結算邏輯才能正常運作。看似已完成但實際只交付部分價值的交易,正是那種會在任何人注意到帳務有誤之前,先把流動性從 AMM 和 DEX 抽走的差異。該 Bug 並不簡單。它需要模擬標準的人類稽核流程很少能碰到的邊界情況互動,而這正是它為什麼直到某個 AI 資安工具找出來之前都未被發現。如何發現並修復----------------這項發現歸功於一款使用形式驗證(formal verification)方法學的 AI 稽核工具,據稱來自一家在 CertiK 或 Immunefi 領域運作的公司。形式驗證透過數學方式建模程式碼在數十億種可能的交易狀態下的行為,其中包括人類稽核者不會想到去測試、因為它們落在非正常使用模式之外的組合。該漏洞就存在於其中一種組合之中。發現後,XRPL 基金會與 Ripple 的工程團隊在未公開披露前,與該資安公司私下合作開發修補程式。修復隨後透過 XRPL 的標準修正(amendment)治理流程提交;該流程要求在 14 天期間內,驗證者網路取得 80% 的共識才可採用。修正通過。沒有資金流失。為零。修復已整合到 rippled 版本 2.3.0 以及以上。 ### 加密市場只剩下一個催化劑需要定價,而它將於週日到來 為何治理回應很重要-----------------------------------技術修復只是故事的一部分。治理回應則是另一部分。XRPL 在沒有硬分叉(hard fork)、沒有鏈分裂(chain split)、也沒有任何網路停機期間的情況下,解決了一項關鍵漏洞。修正流程——有些批評者曾將其描述為緩慢或過度保守——卻高效率地處理了一個真正嚴重的資安問題,且沒有對使用者造成任何附帶損害。對使用 Ripple 付款基礎設施的機構參與者而言,這個結果具有實質分量。當討論在規模化推進機構採用(institutional adoption)時轉向更大的層面,能夠在遭到利用之前、透過有序的驗證者共識流程,讓大型第 1 層(Layer 1)網路在程式碼邏輯層級修補關鍵缺陷,這種作業層面的紀錄就是人們真正會在意的重點。更廣泛的訊號----------------此次事件代表了較為重要的早期案例之一:生成式 AI 稽核工具在生產級區塊鏈基礎設施中找出了人類審查所忽略的漏洞。其意涵並不是說人類稽核者已不再需要。重點在於,當形式驗證在機器規模上與人類專業知識結合時,其所形成的資安防護姿態,會比任何一方單獨帶來的效果都要更為強韌。
AI 工具在黑客有機會行動之前捕捉到 XRP 升級的關鍵漏洞
一款由 AI 驅動的資安稽核工具於 2026 年 2 月在 XRP Ledger 中辨識出一項關鍵的雙重支出(double-spend)漏洞,可能在任何錢包被觸及之前,就預防了高達數億美元的使用者資產損失。
這個 Bug 實際上做了什麼
該漏洞位於 兩項特定 XRPL 功能 的交集:部分付款(Partial Payments)以及某些以託管(escrow)風格的智慧合約邏輯。單獨來看,這兩項功能都不是問題所在。在特定條件下將它們結合,才產生了一條可被利用的路徑,使攻擊者有可能誘使帳本在「已完全結算」的狀態下記錄一筆付款,但實際移動的 XRP 只佔預期的一小部分。
這種利用的實際目標很可能是帳本上的自動化做市商(automated market makers)與去中心化交易所(decentralized exchanges)。這兩者都依賴精準的結算邏輯才能正常運作。看似已完成但實際只交付部分價值的交易,正是那種會在任何人注意到帳務有誤之前,先把流動性從 AMM 和 DEX 抽走的差異。
該 Bug 並不簡單。它需要模擬標準的人類稽核流程很少能碰到的邊界情況互動,而這正是它為什麼直到某個 AI 資安工具找出來之前都未被發現。
如何發現並修復
這項發現歸功於一款使用形式驗證(formal verification)方法學的 AI 稽核工具,據稱來自一家在 CertiK 或 Immunefi 領域運作的公司。形式驗證透過數學方式建模程式碼在數十億種可能的交易狀態下的行為,其中包括人類稽核者不會想到去測試、因為它們落在非正常使用模式之外的組合。該漏洞就存在於其中一種組合之中。
發現後,XRPL 基金會與 Ripple 的工程團隊在未公開披露前,與該資安公司私下合作開發修補程式。修復隨後透過 XRPL 的標準修正(amendment)治理流程提交;該流程要求在 14 天期間內,驗證者網路取得 80% 的共識才可採用。修正通過。沒有資金流失。為零。
修復已整合到 rippled 版本 2.3.0 以及以上。
為何治理回應很重要
技術修復只是故事的一部分。治理回應則是另一部分。XRPL 在沒有硬分叉(hard fork)、沒有鏈分裂(chain split)、也沒有任何網路停機期間的情況下,解決了一項關鍵漏洞。修正流程——有些批評者曾將其描述為緩慢或過度保守——卻高效率地處理了一個真正嚴重的資安問題,且沒有對使用者造成任何附帶損害。
對使用 Ripple 付款基礎設施的機構參與者而言,這個結果具有實質分量。當討論在規模化推進機構採用(institutional adoption)時轉向更大的層面,能夠在遭到利用之前、透過有序的驗證者共識流程,讓大型第 1 層(Layer 1)網路在程式碼邏輯層級修補關鍵缺陷,這種作業層面的紀錄就是人們真正會在意的重點。
更廣泛的訊號
此次事件代表了較為重要的早期案例之一:生成式 AI 稽核工具在生產級區塊鏈基礎設施中找出了人類審查所忽略的漏洞。其意涵並不是說人類稽核者已不再需要。重點在於,當形式驗證在機器規模上與人類專業知識結合時,其所形成的資安防護姿態,會比任何一方單獨帶來的效果都要更為強韌。