RippleX uruchomiło konkurs bezpieczeństwa o wartości 200 000 USD, zapraszając hakerów do identyfikacji luk w proponowanym protokole pożyczkowym XRP Ledger przed jego uruchomieniem, współpracując z platformą bezpieczeństwa blockchain Immunefi w ramach tzw. "Attackathon", koncentrującym się na ponad 35 000 liniach kodu C++.
Co warto wiedzieć:
- RippleX i Immunefi prowadzą ograniczoną czasowo konkurencję od 27 października do 29 listopada 2025 roku, celując w proponowany protokół pożyczkowy XRPL oraz sześć powiązanych standardów technicznych.
- Pełna pula nagród wynosząca 200 000 USD zostanie odblokowana, jeśli badacze odkryją nawet jedną krytyczną lukę; w przeciwnym razie, nagroda awaryjna w wysokości 30 000 USD zostanie podzielona między uczestników, którzy przedstawią ważne odkrycia.
- Program testuje natywną infrastrukturę pożyczkową wbudowaną bezpośrednio w XRP Ledger, a nie poprzez zewnętrzne umowy smart, obejmując systemy kredytowe na określony czas, nie wymagające zabezpieczenia, zarządzane przez standard XLS-66.
Testowanie bezpieczeństwa protokołu przed uruchomieniem
RippleX ogłosiło inicjatywę 13 października, oświadczając, że konkurencja pomoże "testować i wzmacniać" protokół pożyczkowy, jednocześnie oferując ścieżkę edukacyjną, aby pomóc badaczom bezpieczeństwa zrozumieć architekturę XRP Ledger. Immunefi opisało wysiłek jako "ograniczoną czasowo, przeciwną konkurencję do identyfikowania luk przed osiągnięciem przez protokół etapu produkcji."
Program obejmuje fazę edukacyjną trwającą od 13 do 27 października, podczas której Immunefi dostarcza specyficznych dla rejestru samouczków, przewodników po Devnecie, środowisk testowych oraz materiałów edukacyjnych z C++.
Badacze bezpieczeństwa będą mieli bezpośredni dostęp do inżynierów Ripple podczas tego okna.
Faktyczna konkurencja trwa od 27 października do 29 listopada.
Nagrody będą wypłacane w RLUSD, dolarowej walucie stabilnej Ripple, a uczestnicy muszą przejść przez weryfikację znajomości klienta podczas procesu triażu Immunefi. Struktura nagród tworzy wynik binarny: jeśli badacze znajdą przynajmniej jedną krytyczną lukę, cała pula 200 000 USD staje się dostępna według zasad płaskiej dystrybucji z premiami wydajnościowymi. Jeśli nie pojawią się krytyczne wady, Immunefi podzieli 30 000 USD wśród tych, którzy przedstawią ważne odkrycia o niższym stopniu ryzyka.
Standardy techniczne i kredyt instytucjonalny
Attackathon celuje w sześć standardów technicznych, które tworzą fundament tego, co Ripple nazywa "DeFi instytucjonalnym" na XRP Ledger. Głównym celem jest XLS-66, który definiuje sam protokół pożyczkowy, ale badacze będą także analizować XLS-65 dla skarbców jednoaktywnych, XLS-33 dla tokenów wielozadaniowych, XLS-70 dla poświadczeń, XLS-77 dla funkcji głębokiego zamrożenia i XLS-80 dla dozwolonych domen.
Standardy te odzwierciedlają podejście Ripple do budowania rynków kredytowych bezpośrednio w rejestrze, a nie nakładania ich przez umowy smart. Dokumentacja techniczna firmy opisuje system pożyczek wspólnych z egzekucją na łańcuchu połączoną z oceną kredytową poza łańcuchem.
Współzależne standardy zarządzają wymaganiami zgodności, odzyskiwalnością aktywów i kontrolami tożsamości jako funkcje rodzimych rejestrów.
Immunefi w briefie konkursowym zaznacza, że badacze powinni skupić się na lukach wpływających na bezpieczeństwo funduszy, wypłacalność skarbców, kalkulacje odsetek, reprezentację długu, mechanizmy odzyskiwania, semantyki zamrożenia, akta administracyjne i kontrolę dostępu dozwolonych. Nacisk na logikę poziomu rejestru odróżnia ten program od typowych nagród za błędy umów smart, które koncentrują się na kwestiach Maszyny Wirtualnej Solidity lub Ethereum.
Ripple omawiało tę architekturę przez cały wrzesień, pozycjonując standardy pożyczkowe i skarbcowe jako rdzeń infrastruktury dla rynków kredytowych instytucji. Projekt unika zawijanych aktywów i umów zewnętrznych, co oznacza, że badacze bezpieczeństwa muszą szukać błędów w implementacji podstawowego protokołu, a nie w umowach poziomu kontraktu wspólnych dla innych platform blockchain.
Zrozumienie kluczowych terminów
XRP Ledger działa jako zdecentralizowana sieć płatności, która przetwarza transakcje za pomocą protokołu konsensusu zamiast wydobycia proof-of-work. W przeciwieństwie do blockchainów, które uruchamiają umowy smart w maszynach wirtualnych, XRPL implementuje nowe funkcje poprzez poprawki do podstawowego protokołu, wymagając aprobaty walidatorów przed aktywacją.
Ta różnica architektoniczna oznacza, że nowe funkcjonalności, takie jak protokoły pożyczkowe, muszą być wbudowane w bazę kodu C++ rejestru, a nie wdrażane jako oddzielny kod umowy.
Nie zabezpieczone pożyczki, kluczowa cecha proponowanego protokołu, pozwalają kredytobiorcom uzyskać kredyt bez deponowania aktywów jako zabezpieczenia. To podejście wymaga solidnych mechanizmów weryfikacji tożsamości i oceny kredytowej, które standard XLS-70 ma zapewnić. Pożyczki o ustalonych terminach działają na z góry ustalonych harmonogramach z określonymi terminami spłaty, w przeciwieństwie do wiecznych, zmiennych układów kosmetycznych, popularnych w aplikacjach DeFi.
Termin "Attackathon" łączy "atak" i "maraton", opisując intensywny, ograniczony czasowo audyt bezpieczeństwa, w którym badacze konkurują, by znaleźć luki. Programy nagród za błędy zazwyczaj działają bez końca z nagrodami skalującymi się do ciężkości luk, podczas gdy Attackathony kompresują okres testowy i oferują łączone nagrody, aby stworzyć poczucie pilności. Immunefi specjalizuje się w tych konkursach dla projektów blockchain, przeprowadzając podobne programy dla innych protokołów przed ich uruchomieniem.
RLUSD, waluta stabilna Ripple, która będzie używana do wypłat w konkursie, utrzymuje jeden-do-jednego poziom z dolarem amerykańskim poprzez rezerwowe zabezpieczenie.
Rozważania końcowe
Program bezpieczeństwa reprezentuje przesunięcie w stronę testów przeciwnych przed produkcyjnym wdrożeniem, szczególnie dla architektur blockchaina nie Ethereum, gdzie konwencjonalne luki w umowach smart mogą nie mieć zastosowania. Na czas prasy, XRP handlowano po $2,46, z ostateczną datą uruchomienia protokołu pożyczkowego jeszcze nie ogłoszoną, w oczekiwaniu na wyniki konkursu bezpieczeństwa.