RippleX ha lanzado una competencia de seguridad de $200,000 invitando a hackers a identificar vulnerabilidades en el protocolo de préstamos propuesto del XRP Ledger antes de que entre en funcionamiento, en colaboración con la plataforma de seguridad blockchain Immunefi para realizar lo que las empresas llaman un "Attackathon" centrado en más de 35,000 líneas de código C++.
Lo que hay que saber:
- RippleX e Immunefi están realizando una competencia adversaria con tiempo limitado del 27 de octubre al 29 de noviembre de 2025, dirigida al Protocolo de Préstamos XRPL propuesto y seis estándares técnicos relacionados.
- El premio total de $200,000 se desbloquea si los investigadores descubren al menos una vulnerabilidad crítica; de lo contrario, se distribuirá una recompensa de $30,000 entre los participantes que presenten hallazgos válidos.
- El programa prueba la infraestructura de préstamos nativos del libro mayor construida directamente sobre el XRP Ledger en lugar de a través de contratos inteligentes externos, cubriendo sistemas de crédito sin garantía a plazo fijo gobernados por el estándar XLS-66.
Probar la seguridad del protocolo antes del lanzamiento
RippleX anunció la iniciativa el 13 de octubre, declarando que la competencia "probaría y fortalecería" el protocolo de préstamos mientras ofrecería una línea educativa para ayudar a los investigadores de seguridad a entender la arquitectura del XRP Ledger. Immunefi describió el esfuerzo como una "competencia adversaria con tiempo limitado para identificar vulnerabilidades antes de que el protocolo llegue a producción."
El programa incluye una fase educativa del 13 al 27 de octubre, durante la cual Immunefi proporciona tutoriales específicos del libro mayor, guías Devnet, entornos de prueba y materiales curriculares sobre C++.
Los investigadores de seguridad tendrán acceso directo a ingenieros de Ripple durante esta ventana.
La competencia real se lleva a cabo del 27 de octubre al 29 de noviembre.
Las recompensas se pagarán en RLUSD, la stablecoin de Ripple vinculada al dólar, y los participantes deben completar la verificación de identidad a través del proceso de triaje de Immunefi. La estructura del premio crea un resultado binario: si los investigadores encuentran al menos una vulnerabilidad crítica, el total de $200,000 del fondo se hace disponible bajo reglas de distribución plana con bonificaciones por rendimiento. Si no se descubren fallas críticas, Immunefi dividirá $30,000 entre aquellos que presenten hallazgos válidos de menor severidad.
Normas técnicas y crédito institucional
El Attackathon apunta a seis estándares técnicos que forman la base de lo que Ripple llama "DeFi institucional" en el XRP Ledger. El enfoque principal es el XLS-66, que define el protocolo de préstamos en sí, pero los investigadores también examinarán el XLS-65 para bóvedas de un solo activo, el XLS-33 para tokens de propósito múltiple, el XLS-70 para credenciales, el XLS-77 para funcionalidad de congelación profunda y el XLS-80 para dominios con permisos.
Estos estándares reflejan el enfoque de Ripple para construir mercados de crédito directamente en el libro mayor en lugar de superponerlos a través de contratos inteligentes. La documentación técnica de la compañía describe un sistema de préstamos agrupados con aplicación en la cadena emparejada con evaluación de crédito fuera de la cadena.
Los estándares adyacentes manejan requisitos de cumplimiento, recuperabilidad de activos y controles de identidad como funciones nativas del libro mayor.
El informe de competencia de Immunefi especifica que los investigadores deben concentrarse en vulnerabilidades que afecten la seguridad de los fondos, la solvencia de las bóvedas, el cálculo de intereses, la representación de la deuda, los mecanismos de recuperación, las semánticas de congelación, los registros administrativos y los controles de acceso con permisos. El énfasis en la lógica al nivel del libro mayor distingue este programa de las típicas recompensas por errores en contratos inteligentes que se centran en problemas del Solidity o la máquina virtual de Ethereum.
Ripple ha discutido esta arquitectura a lo largo de septiembre, posicionando los estándares de préstamos y bóvedas como infraestructura básica para los mercados de crédito institucional. El diseño evita activos envueltos y contratos de terceros, lo que significa que los investigadores de seguridad deben buscar fallas en la implementación del protocolo base en lugar de vulnerabilidades a nivel de contrato comunes en otras plataformas blockchain.
Comprendiendo términos clave
El XRP Ledger opera como una red de pagos descentralizada que procesa transacciones a través de un protocolo de consenso en lugar de minería de prueba de trabajo. A diferencia de las blockchains que ejecutan contratos inteligentes en máquinas virtuales, XRPL implementa nuevas funciones a través de enmiendas al protocolo principal, requiriendo aprobación de validadores antes de su activación.
Esta diferencia arquitectónica significa que nuevas funcionalidades como los protocolos de préstamo deben integrarse en el código base C++ del libro mayor en lugar de desplegarse como código de contrato separado.
El préstamo sin garantías, una característica central del protocolo propuesto, permite a los prestatarios obtener crédito sin depositar activos como garantía. Este enfoque requiere mecanismos robustos de verificación de identidad y evaluación de crédito, que el estándar de credenciales XLS-70 busca proporcionar. Los préstamos a plazo fijo operan en horarios predeterminados con fechas de pago definidas, contrastando con los arreglos perpetuos y de tasa variable comunes en aplicaciones de finanzas descentralizadas.
El término "Attackathon" combina "ataque" y "maratón," describiendo una auditoría de seguridad intensiva y con tiempo limitado donde los investigadores compiten para encontrar vulnerabilidades. Los programas de recompensas por errores suelen ejecutarse indefinidamente con recompensas que escalan según la severidad de la vulnerabilidad, mientras que los Attackathons comprimen el período de prueba y ofrecen premios compartidos para crear urgencia. Immunefi se especializa en estas competencias para proyectos de blockchain, habiendo llevado a cabo programas similares para otros protocolos antes del lanzamiento.
RLUSD, la stablecoin de Ripple que se usará para los pagos de la competencia, mantiene una paridad uno a uno con el dólar estadounidense mediante respaldo en reservas.
Pensamientos finales
El programa de seguridad representa un cambio hacia pruebas adversarias antes del despliegue en producción, particularmente para arquitecturas blockchain no basadas en Ethereum donde las vulnerabilidades convencionales de contratos inteligentes pueden no ser aplicables. Al momento de la prensa, XRP se cotizaba a $2.46, y la fecha de lanzamiento eventual del protocolo de préstamos aún no había sido anunciada pendiente del resultado de la competencia de seguridad.