RippleX telah meluncurkan kompetisi keamanan $200,000 yang mengundang peretas untuk mengidentifikasi kerentanan dalam protokol peminjaman yang diusulkan XRP Ledger sebelum diluncurkan, berkolaborasi dengan platform keamanan blockchain Immunefi untuk menyelenggarakan apa yang disebut perusahaan sebagai "Attackathon" yang berfokus pada lebih dari 35,000 baris kode C++.
Yang Perlu Diketahui:
- RippleX dan Immunefi menjalankan kompetisi advesarial terbatas waktu dari 27 Oktober hingga 29 November, 2025, menargetkan Protokol Peminjaman XRPL yang diusulkan dan enam standar teknis terkait.
- Jumlah hadiah $200,000 penuh terbuka jika peneliti menemukan satu kerentanan kritis; jika tidak, hadiah cadangan $30,000 akan didistribusikan di antara peserta yang mengirimkan temuan yang valid.
- Program ini menguji infrastruktur peminjaman asli buku besar yang dibangun langsung ke dalam XRP Ledger, bukan melalui kontrak pintar eksternal, meliputi sistem kredit jangka tetap tanpa jaminan yang diatur oleh standar XLS-66.
Menguji Keamanan Protokol Sebelum Diluncurkan
RippleX mengumumkan inisiatif ini pada 13 Oktober, menyatakan bahwa kompetisi tersebut akan "menguji dan memperkuat" protokol peminjaman sambil memberikan jalur pendidikan untuk membantu peneliti keamanan memahami arsitektur XRP Ledger. Immunefi menggambarkan upaya tersebut sebagai "kompetisi advesarial terpaku waktu untuk mengidentifikasi kerentanan sebelum protokol mencapai produksi."
Program ini mencakup fase pendidikan yang berlangsung dari 13 Oktober hingga 27 Oktober, selama Immunefi menyediakan tutorial khusus buku besar, panduan Devnet, lingkungan uji dan materi kurikulum C++.
Peneliti keamanan akan memiliki akses langsung ke insinyur Ripple selama jangka waktu ini.
Kompetisi sesungguhnya berlangsung dari 27 Oktober sampai 29 November.
Hadiah akan dibayarkan dalam RLUSD, stablecoin yang dipatok dolar oleh Ripple, dan peserta harus menyelesaikan verifikasi kyc melalui proses triase Immunefi. Struktur hadiah menciptakan hasil biner: jika peneliti menemukan setidaknya satu kerentanan kritis, seluruh pool $200,000 menjadi tersedia di bawah aturan distribusi datar dengan bonus kinerja. Jika tidak ada cacat kritis yang muncul, Immunefi akan membagi $30,000 di antara mereka yang mengirimkan temuan yang valid dengan tingkat keparahan yang lebih rendah.
Standar Teknis dan Kredit Institusional
Attackathon menargetkan enam standar teknis yang membentuk fondasi dari apa yang disebut Ripple sebagai "DeFi institusional" di XRP Ledger. Fokus utamanya adalah XLS-66, yang mendefinisikan protokol peminjaman itu sendiri, tetapi peneliti juga akan memeriksa XLS-65 untuk vault satu aset, XLS-33 untuk token serbaguna, XLS-70 untuk kredensial, XLS-77 untuk fungsionalitas deepfreeze dan XLS-80 untuk domain berizin.
Standar-standar ini mencerminkan pendekatan Ripple untuk membangun pasar kredit langsung ke dalam buku besar daripada menambahkannya di atas dengan kontrak pintar. Dokumentasi teknis perusahaan menggambarkan sistem untuk peminjaman dengan penegakan di dalam rantai dipasangkan dengan evaluasi kredit off-chain.
Standar terkait menangani persyaratan kepatuhan, pemulihan aset dan kontrol identitas sebagai fungsi asli buku besar.
Ringkasan kompetisi Immunefi menentukan bahwa peneliti harus fokus pada kerentanan yang mempengaruhi keamanan dana, solvabilitas vault, perhitungan bunga, representasi utang, mekanisme clawback, semantik pembekuan, catatan administratif dan kontrol akses yang berizin. Penekanan pada logika tingkat buku besar membedakan program ini dari bounty bug kontrak pintar biasa yang berfokus pada masalah Solidity atau Mesin Virtual Ethereum.
Ripple telah membahas arsitektur ini sepanjang September, memposisikan standar peminjaman dan vault sebagai infrastruktur inti untuk pasar kredit institusional. Desain menghindari aset terbungkus dan kontrak pihak ketiga, yang berarti peneliti keamanan harus mencari kelemahan dalam implementasi protokol dasar daripada kerentanan tingkat kontrak yang umum pada platform blockchain lainnya.
Memahami Istilah Utama
XRP Ledger beroperasi sebagai jaringan pembayaran terdesentralisasi yang memproses transaksi melalui protokol konsensus daripada penambangan bukti kerja. Tidak seperti blockchain yang menjalankan kontrak pintar dalam mesin virtual, XRPL menerapkan fitur baru melalui amandemen pada protokol inti, memerlukan persetujuan dari validator sebelum aktivasi.
Perbedaan arsitektural ini berarti fitur baru seperti protokol peminjaman harus dibangun langsung ke dalam kode dasar C++ buku besar daripada diterapkan sebagai kode kontrak terpisah.
Peminjaman tanpa jaminan, fitur utama dari protokol yang diusulkan, memungkinkan peminjam untuk mendapatkan kredit tanpa menyetor aset sebagai jaminan. Pendekatan ini memerlukan mekanisme verifikasi identitas dan penilaian kredit yang kuat, yang ingin disediakan oleh standar kredensial XLS-70. Pinjaman jangka tetap beroperasi pada jadwal yang telah ditentukan dengan tanggal pembayaran yang ditentukan, berlawanan dengan pengaturan variabel yang terus-menerus yang umum dalam aplikasi keuangan terdesentralisasi.
Istilah "Attackathon" menggabungkan "serang" dan "maraton", menggambarkan audit keamanan intensif dan terbatas waktu di mana peneliti bersaing untuk menemukan kerentanan. Program bounty bug biasanya dijalankan tanpa batasan waktu dengan hadiah yang mencerminkan tingkat keparahan kerentanan, sedangkan Attackathons memadatkan periode pengujian dan menawarkan hadiah terkumpul untuk menciptakan urgensi. Immunefi mengkhususkan diri dalam kompetisi semacam ini untuk proyek blockchain, telah melakukan program serupa untuk protokol lainnya sebelum peluncuran.
RLUSD, stablecoin Ripple yang akan digunakan untuk pembagian hadiah kompetisi, menjaga nilai satu banding satu dengan dolar AS melalui cadangan dukungan.
Catatan Penutup
Program keamanan ini mewakili pergeseran menuju pengujian advesarial sebelum penerapan produksi, terutama untuk arsitektur blockchain non-Ethereum di mana kerentanan kontrak pintar konvensional mungkin tidak berlaku. Pada saat cetak, XRP diperdagangkan di $2,46, dengan tanggal peluncuran protokol peminjaman yang belum diumumkan menunggu hasil dari kompetisi keamanan.