XRP Ledger verhelpt belangrijke kwetsbaarheid net op tijd.

Een kritiek beveiligingslek in de XRP Ledger's De voorgestelde batchaanpassing had aanvallers in staat kunnen stellen om ongeautoriseerde transacties uit te voeren vanaf accounts van slachtoffers, en dat allemaal zonder privésleutels. De bug werd ontdekt op 19 februari, voordat de aanpassing live ging op het mainnet, waardoor er geen tegoeden werden gecompromitteerd. CEO Hari Mulackal van Cantina noemde het een potentiële kandidaat voor "de grootste beveiligingshack in dollars" in de geschiedenis van blockchain, met een marktkapitalisatie van XRP van ongeveer 80 miljard dollar.

Wat was het probleem precies?

De kwetsbaarheid zat in het proces voor het valideren van handtekeningen bij batchtransacties in Rippled versie 3.1.0. Een logische fout in de validatielus zorgde voor een vroegtijdige beëindiging die aanvallers konden misbruiken.

Zo werkte het in de praktijk:

• Een aanvaller zou een batchtransactie kunnen samenstellen die interne bewerkingen (betalingen, accountwijzigingen) bevat, gekoppeld aan het account van een slachtoffer.
• Bij de transactie zou een vervalste handtekening worden gebruikt.
• De gebrekkige validatie zou een niet-bestaand account controleren, voortijdig afsluiten en de juiste verificatie overslaan.
• De ongeautoriseerde handelingen zouden dan worden uitgevoerd alsof ze legitiem waren.

Indien na activering misbruik gemaakt van de beveiliging, hadden aanvallers accounts kunnen leegplunderen tot hun reservesaldo, de grootboekstatus kunnen wijzigen via transacties zoals AccountSet of TrustSet, en mogelijk zelfs accounts volledig kunnen verwijderen.

Hoe werd het gevangen?

Beveiligingsingenieur Pranamya Keshkamat van kelderEen beveiligingsbedrijf dat zich richt op blockchain-technologie, ontdekte de kwetsbaarheid met behulp van Apex, een AI-gestuurde audittool van het bedrijf. De ontdekking werd gedaan tijdens een statische analyse van de Rippled-codebasis.

Apex, omschreven als een autonome AI-beveiligingsauditor, signaleerde de logische fout. Keshkamat en het team dienden vervolgens een rapport in over de risico's. De engineeringteams van Ripple valideerden dit snel met behulp van een proof-of-concept en unit tests.

Dit is een concreet voorbeeld van hoe AI-ondersteunde beveiliging resultaten oplevert, in plaats van ze alleen maar te beloven.

Hoe snel kwam het antwoord?

Van de ontdekking tot de openbare bekendmaking duurde het hele proces één week.

Op 19 februari, dezelfde dag dat Cantina de fout meldde, werd de validators van UNL geadviseerd om "Nee" te stemmen tegen het Batch-amendement. Verschillende validators brachten onmiddellijk hun veto uit.

Ontdek veelbelovende projecten...

Veelbelovende projecten...

(Advertentie)

Artikel gaat verder...

Op 23 februari bracht Ripple een noodpatch uit met Rippled versie 3.1.1. Deze update markeert de Batch-aanpassing als niet-ondersteund en introduceert een tijdelijke oplossing genaamd fixBatchInnerSigs om activering te blokkeren.

Op 26 februari heeft XRPL Labs gepubliceerde Het volledige rapport over de openbaarmaking van kwetsbaarheden is openbaar gemaakt.

Wat gebeurt er nu?

De Batch-amendement is niet van de baan. Het XRPL-ontwikkelteam werkt aan een vervanging genaamd BatchV1_1. De bijgewerkte versie verwijdert de voorwaarden voor vroegtijdige beëindiging, voegt autorisatiecontroles toe en verscherpt de ondertekeningscontroles over de hele linie. Er is nog geen releasedatum bekend en de code wordt nog beoordeeld.

Validators wordt aangeraden direct te upgraden naar Rippled 3.1.1. Reguliere gebruikers hoeven geen actie te ondernemen, aangezien de kwetsbaarheid nooit is geactiveerd, maar het is wel verstandig om de officiële XRPL-kanalen in de gaten te houden voor updates over BatchV1_1.

Waarom doet dit er toe?

Dit is een van die bijna-ongelukken waar de hele branche op zou moeten letten. De bug zat in code waarover actief gestemd werd voor activering op het mainnet. Als het moment ook maar een paar dagen anders was geweest, had de uitkomst er heel anders uit kunnen zien.

Het feit dat een AI-tool een centrale rol speelde bij het ontdekken ervan is veelbetekenend. Audits door derden zijn altijd belangrijk geweest in de cryptowereld, maar AI-ondersteunde audits bewijzen dat ze zaken kunnen opsporen die menselijke reviewers tijdens een routinematige codebeoordeling over het hoofd zouden zien.

XRPL Labs erkende dat het incident zal leiden tot voortdurende verbeteringen in hun codebeoordelingsprocessen. Voor een ecosysteem dat tientallen miljarden aan waarde beheert, is dat geen optie. Het is essentieel voor het voortbestaan.

Bronnen:

• Cointelegraph Verslaggeving over de ontdekking door Cantina's beveiligingsingenieur en AI-tool Apex, inclusief citaten van CEO Hari Mulackal.
• XRPL Labs Blog Officieel beveiligingslekrapport met technische details, een tijdlijn voor herstel en aanbevelingen van de validator.