RippleX запустив змагання з безпеки на $200,000, запрошуючи хакерів виявляти вразливості у запропонованому кредитному протоколі XRP Ledger до його запуску, співпрацюючи з платформою безпеки блокчейну Immunefi для проведення того, що компанії називають "Attackathon", зосередженого на більш ніж 35,000 рядках коду C++.
Що потрібно знати:
- RippleX та Immunefi проводять обмежене за часом змагання з безпеки з 27 жовтня по 29 листопада 2025 року, орієнтоване на запропонований кредитний протокол XRPL та шість відповідних технічних стандартів.
- Повний призовий фонд у розмірі $200,000 розблокується, якщо дослідники виявлять хоча б одну критичну вразливість; інакше, резервний приз у $30,000 буде розподілений серед учасників, які нададуть дійсні знахідки.
- Програма тестує інфраструктуру кредитування, вбудовану безпосередньо в XRP Ledger, а не через зовнішні смарт-контракти, охоплюючи системи без застави та з встановленими термінами, керовані стандартом XLS-66.
Тестування безпеки протоколу перед запуском
RippleX анонсувала ініціативу 13 жовтня, зазначивши, що змагання "протестують та зміцнять" кредитний протокол, а також забезпечать освітній трек, щоб допомогти дослідникам безпеки зрозуміти архітектуру XRP Ledger. Immunefi описав цю ініціативу як "обмежене за часом змагання з ворожості для виявлення вразливостей перед тим, як протокол надійде у виробництво."
Програма включає в себе освітню фазу, яка проводиться з 13 жовтня по 27 жовтня, під час якої Immunefi надає специфічні для книги навчальні посібники, керівництва по Devnet, тестові середовища та навчальні матеріали з C++.
Дослідники безпеки матимуть прямий доступ до інженерів Ripple в цей проміжок часу.
Фактичне змагання проводиться з 27 жовтня по 29 листопада.
Винагороди будуть виплачені в RLUSD, стабільній криптовалюті Ripple, підв’язаній до долара, і учасники повинні пройти верифікацію клієнта через процес тріажу Immunefi. Структура призів створює бінарний результат: якщо дослідники знайдуть хоча б одну критичну вразливість, весь фонд у $200,000 стане доступним за правилами рівномірного розподілу з бонусами за продуктивність. Якщо критичних недоліків не виявлено, Immunefi розділить $30,000 серед тих, хто надав дійсні знахідки меншої серйозності.
Технічні стандарти та інституційний кредит
Attackathon спрямований на шість технічних стандартів, які формують основу того, що Ripple називає "інституційним DeFi" на XRP Ledger. Основна увага зосереджена на XLS-66, який визначає сам кредитний протокол, але дослідники також розглянуть XLS-65 для одиничних сховищ активів, XLS-33 для багатофункціональних токенів, XLS-70 для облікових даних, XLS-77 для функціональності глибокого заморожування та XLS-80 для дозволених доменів.
Ці стандарти відображають підхід Ripple до побудови кредитних ринків безпосередньо у книзі, а не нашаруванням на неї за допомогою смарт-контрактів. Технічна документація компанії описує систему для пулового кредитування з забезпеченням доступу на ланцюзі та оцінки кредиту поза ланцюгом.
Зв'язані стандарти обробляють вимоги до дотримання, відновлюваність активів та засоби управління ідентичністю як нативні функції книги.
Вказівки конкурсу Immunefi конкретизують, що дослідники повинні зосередитись на вразливостях, які впливають на безпеку фондів, платоспроможність сховища, обчислення відсотків, представлення боргу, механізми стягнення, семантику заморожування, адміністративні записи та контроль доступу до дозволених ресурсів. Акцент на логіці на рівні книги відрізняє цю програму від звичайних винагород за знаходження помилок у смарт-контрактах, які зосереджені на питаннях, пов'язаних зі Solidity чи Ethereum Virtual Machine.
Ripple обговорює цю архітектуру протягом вересня, позиціонуючи стандарт кредитування та сховищ як основну інфраструктуру для інституційних кредитних ринків. Дизайн уникає загортання активів та контрактів третіх сторін, тобто дослідники безпеки повинні шукати недоліки в базовій імплементації протоколу, а не в уразливостях на рівні контрактів, які часто зустрічаються на інших платформах блокчейну.
Розуміння ключових термінів
XRP Ledger функціонує як децентралізована платіжна мережа, яка обробляє транзакції через протокол консенсусу, а не майнінг на основі доказу роботи. На відміну від блокчейнів, які виконують смарт-контракти у віртуальних машинах, XRPL реалізує нові функції за допомогою поправок до основного протоколу, що вимагає від validatorів схвалення перед активацією.
Ця архітектурна відмінність означає, що нова функціональність, така як кредитні протоколи, повинна бути вбудована в кодову базу C++ книги, а не розгорнута як окремий код контракту.
Неколатералізоване кредитування, центральна особливість запропонованого протоколу, дозволяє позичальникам отримувати кредит без внесення активів як забезпечення. Цей підхід вимагає надійної перевірки ідентичності та механізмів оцінки кредитоспроможності, які стандарт XLS-70 намагається забезпечити. Кредити з фіксованим терміном функціонують на основі заздалегідь визначених графіків з визначеними датами погашення, що контрастує з постійними, змінно-процентними угодами, поширеними в децентралізованих фінансових програмах.
Термін "Attackathon" об'єднує слова "атака" і "марафон", описуючи інтенсивний, обмежений за часом аудит безпеки, де дослідники змагаються за виявлення вразливостей. Програми з винагородами за виявлення помилок зазвичай працюють безстроково, з нагородами, що масштабується в залежності від серйозності вразливості, тоді як Attackathons стискають період тестування та пропонують об'єднані призи для створення терміновості. Immunefi спеціалізується на таких змаганнях для блокчейн-проектів, проводивши подібні програми для інших протоколів перед запуском.
RLUSD, стабільна криптовалюта Ripple, яка буде використовуватися для виплат за змагання, підтримує один-до-одного прив'язку з доларом США через резервне забезпечення.
Підсумкові думки
Програма безпеки представляє зрушення в бік тестування на протистояння перед впровадженням у виробництво, особливо для архітектур блокчейн не на базі Ethereum, де звичайні вразливості смарт-контрактів можуть не застосовуватись. На момент пресрелізу XRP торгувався по $2.46, дата остаточного запуску кредитного протоколу ще не оголошена, залежно від результату змагання з безпеки.