أطلقت RippleX مسابقة أمنية بقيمة 200,000 دولار لدعوة القراصنة لتحديد الثغرات في بروتوكول الإقراض المقترح لدفتر XRP قبل إطلاقه. تتعاون RippleX مع منصة أمن البلوكشين Immunefi لتنظيم ما تسميه الشركات "هجوم-اثون" يستهدف أكثر من 35,000 سطر برمجي من C++.
ما يجب معرفته:
- تدير RippleX وImmunefi مسابقة معادية محددة زمنياً من 27 أكتوبر حتى 29 نوفمبر 2025، تستهدف بروتوكول الإقراض المقترح لدفتر XRP وستة معايير تقنية ذات صلة.
- يتم فتح جميع الجائزة البالغة 200,000 دولار إذا اكتشف الباحثون ثغرة أمنية واحدة حرجة؛ وإلا سيتم توزيع مكافأة احتياطية بقيمة 30,000 دولار بين المشاركين الذين قدموا نتائج صحيحة.
- يقوم البرنامج باختبار بنية الإقراض الأصلية للدفتر المبنية مباشرة في دفتر XRP بدلاً من العقود الذكية الخارجية، ويغطي أنظمة الائتمان غير المضمونة ذات المدة المحددة التي يحكمها المعيار XLS-66.
اختبار أمان البروتوكول قبل الإطلاق
أعلنت RippleX عن المبادرة في 13 أكتوبر، مشيرة إلى أن المسابقة ستعمل على "اختبار وتعزيز" بروتوكول الإقراض بينما توفر مساراً تعليمياً لمساعدة الباحثين الأمنيين على فهم بنية دفتر XRP. وصفت Immunefi الجهد بأنه "مسابقة معادية محددة زمنياً لتحديد الثغرات قبل أن يصل البروتوكول إلى الإنتاج."
يشمل البرنامج مرحلة تعليمية تمتد من 13 أكتوبر إلى 27 أكتوبر، حيث توفر Immunefi برامج تعليمية خاصة بالدفتر، ودلائل Devnet، وبيئات تجريبية ومواد مناهج C++.
سيكون لدى الباحثين الأمنيين إمكانية الوصول المباشر إلى مهندسي Ripple خلال هذه الفترة.
تستمر المسابقة الفعلية من 27 أكتوبر حتى 29 نوفمبر.
سيتم دفع المكافآت بعملة RLUSD، وهي العملة المستقرة المرتبطة بالدولار من Ripple، ويجب على المشاركين استكمال التحقق من هويتهم من خلال عملية الفرز الخاصة بـ Immunefi. تخلق بنية المكافأة نتيجة ثنائية: إذا وجد الباحثون ثغرة حرجة واحدة على الأقل، فإن المبلغ الكامل للـ 200,000 دولار يصبح متاحاً وفقاً لقواعد التوزيع الثابتة مع مكافآت الأداء. إذا لم تظهر أي عيوب حرجة، ستقوم Immunefi بتقسيم 30,000 دولار بين أولئك الذين قدموا نتائج أقل خطورة.
المعايير التقنية والائتمان المؤسسي
يستهدف "الهجوم-اثون" ستة معايير تقنية تشكل أسس ما تسميه Ripple بـ "التمويل اللامركزي المؤسسي" على دفتر XRP. يتركز الاهتمام الأساسي على XLS-66، الذي يحدد بروتوكول الإقراض نفسه، ولكن سيقوم الباحثون أيضاً بفحص XLS-65 للمستودعات الفردية، XLS-33 للتوكنات متعددة الأغراض، XLS-70 للاعتمادات، XLS-77 لوظيفة التجميد العميق وXLS-80 للمجالات المأذونة.
تعكس هذه المعايير نهج Ripple لبناء أسواق الائتمان مباشرة في الدفتر بدلاً من طبقاتها فوق العقود الذكية. يصف التوثيق الفني للشركة نظاماً للإقراض المجمّع مع الإنفاذ على السلسلة مقترناً بالتقييم الائتماني خارج السلسلة.
تتعامل المعايير المجاورة مع متطلبات الامتثال، وإمكانية استرداد الأصول، وضوابط الهوية كوظائف أصلية للدفتر.
يحدد موجز مسابقة Immunefi أن الباحثين ينبغي أن يركزوا على الثغرات التي تؤثر على أمن الأموال، وصلاحيه المستودعات، وحساب الفائدة، وتمثيل الديون، وآليات الاسترجاع، ودلالات التجميد، وسجلات الإدارة وضوابط الوصول الأذونية. يميز التركيز على المنطق بمستوى الدفتر هذا البرنامج عن برامج المكافآت النموذجية لعقود الذكية التي تركز على مشكلات Solidity أو Ethereum.
ناقشت Ripple هذه البنية طوال شهر سبتمبر، موضعة معايير الإقراض والمستودعات كبنية تحتية أساسية لأسواق الائتمان المؤسسي. تصميم يتفادى الأصول المغلفة والعقود الطرف الثالث، مما يعني أن الباحثين الأمنيين يجب أن يبحثوا عن العيوب في تنفيذ البروتوكول الأساسي بدلاً من الثغرات بمستوى العقد الشائعة في منصات البلوكشين الأخرى.
فهم المصطلحات الأساسية
يعمل دفتر XRP كشبكة دفع لا مركزية تعالج المعاملات من خلال بروتوكول بالاجماع بدلاً من التعدين القائم على البرهان على العمل (PoW). على خلاف البلوكشينات التي تقوم بتشغيل العقود الذكية في الآلات الافتراضية، يقوم دفتر XRP بتنفيذ ميزات جديدة من خلال تعديلات على البروتوكول الأساسي، مما يتطلب موافقة المصادقين قبل التفعيل.
يعني هذا الاختلاف المعماري أن الوظائف الجديدة مثل بروتوكولات الإقراض يجب أن تُبنى في قاعدة رموز C++ الخاصة بالدفتر بدلاً من نشرها كرموز عقد منفصلة.
يسمح الإقراض غير المضمون، وهو ميزة رئيسية للبروتوكول المقترح، للمقترضين بالحصول على ائتمان دون إيداع أصول كضمان. يتطلب هذا النهج آليات تحقق قوي من الهوية وتقييم ائتماني، والتي يهدف مع اير XLS-70 للاعتمادات إلى توفيرها. تعمل القروض ذات المدة المحددة وفق جداول زمنية محددة مسبقاً مع تواريخ سداد محددة، تتناقض مع الترتيبات ذات السعر المتغير المستمر الشائعة في تطبيقات التمويل اللامركزي.
يجمع مصطلح "الهجوم-اثون" بين "الهجوم" و"الماراثون"، واصفاً تدقيقاً أمنياً مكثفاً ومحدوداً زمنياً حيث يتنافس الباحثون للعثور على الثغرات. عادةً ما تقوم برامج مكافآت الأخطاء بتشغيلها إلى الأبد مع مكافآت تتناسب مع حدة الثغرة، بينما تضغط "الهجوم-اثون" فترة الاختبار وتقدم جوائز مجمعة لخلق حالة من الاستعجال. تتخصص Immunefi في هذه المسابقات لمشاريع البلوكشين، بعد أن قامت بتنظيم برامج مماثلة لبروتوكولات أخرى قبل الإطلاق.
RLUSD، العملة المستقرة لـ Ripple التي سيتم استخدامها في دفعات المسابقة، تحافظ على ارتباط واحد لواحد مع الدولار الأمريكي من خلال دعم الاحتياطيات.
الخاتمة
يمثل البرنامج الأمني تحسناً نحو الاختبار المعادي قبل النشر للإنتاج، خصوصاً بالنسبة لهياكل البلوكشين غير الـ Ethereum حيث قد لا تنطبق ثغرات العقود الذكية التقليدية. في وقت الصحافة، كانت عملة XRP تتداول بسعر 2.46 دولار، مع عدم الإعلان بعد عن تاريخ إطلاق بروتوكول الإقراض في انتظار نتيجة المسابقة الأمنية.