Я только что рассмотрел случай, который звучит почти как из фильма: XRP Ledger чуть не пострадал от взлома на $80 миллиардов, но его остановили как раз вовремя.

Все произошло в феврале, когда компания Cantina, фирма по аудиту безопасности, обнаружила критическую логическую ошибку в пакете обновлений (XLS-56). Ее обнаружил инженер Pranamya Keshkamat, и интересно, что даже бот безопасности на базе ИИ Cantina отметил это во время тестирования.

Уязвимость была в процессе проверки подписей. В основном, пакет обновлений позволяет выполнять несколько внутренних транзакций внутри одной внешней транзакции, что повышает эффективность. Но в цикле механизма проверки подписи была ошибка, которая могла позволить злоумышленникам перемещать средства без необходимости использования приватных ключей. Если система обнаруживала подписанта, связанного с новым аккаунтом, проверка сразу одобрялася, и цикл завершался раньше, чем проходили важные проверки безопасности.

Самое тревожное — это то, что это никогда не активировалось в основной сети. Обновление было запланировано на 3 марта, но Cantina сообщила о проблеме заранее. Команда Ripple быстро отреагировала: предупредили валидаторов, остановили голосование и выпустили Rippled 3.1.1 как аварийный патч.

Hari Mulackal из Spearbit четко сказал: если бы это было использовано злоумышленниками, это был бы самый крупный по стоимости взлом в истории. Роль ledger, которую играет XRP в экосистеме криптовалют, настолько важна, что такая уязвимость могла бы повлиять на все.

Меня особенно удивляет, как сработала система обнаружения. Роль аудитов безопасности, таких как Cantina, критична в подобных случаях. Без этого, без быстрой реакции Ripple, без немедленного голосования валидаторов против — мы бы говорили о беспрецедентном финансовом катастрофе.

Подобные ситуации происходят чаще, чем думает большинство. Поэтому роль ledger таких проектов очень зависит от безопасности и команд, которые за этим следят. Важно держать это в поле зрения.