RippleX推出20萬美元安全競賽,邀請駭客揭示XRP分類帳新借貸協議的潛在漏洞,協議正式上線前先行測試安全,並與區塊鏈安全平台Immunefi合作舉行「Attackathon」,涵蓋超過3.5萬行C++原始碼。
重點內容:
- RippleX及Immunefi將於2025年10月27日至11月29日舉辦限時對抗賽,目標針對建議中的XRPL借貸協議及6項相關技術標準。
- 如研究人員能發現至少一項關鍵漏洞,20萬美元獎金全數解鎖;否則30,000美元將按有效漏洞發現者平均分配。
- 計劃測試XRP分類帳原生的借貸基建,直接內置在分類帳本身,不經外部智能合約,涵蓋根據XLS-66標準管理的固定期、無抵押信貸系統。
上線前的協議安全測試
RippleX於10月13日宣布此倡議,聲稱競賽可「驗證及強化」協議安全,並設教學課程協助安全研究人員了解XRP分類帳架構。Immunefi表示這次為「限時對抗性競賽,目標是在協議正式上線前識別漏洞」。
計劃包括一段教育期,由10月13日至10月27日,期間Immunefi將提供分類帳相關教學、Devnet指南、測試環境及C++教材。
安全研究人員在這個階段可直接聯絡Ripple工程師。
正式對抗賽由10月27日至11月29日舉行。
獎金將以Ripple的美元掛鈎穩定幣RLUSD發放,參與者需完成Immunefi的KYC驗證。賽事設立二元獎勵:如發現任何關鍵漏洞,20萬美元將均分給所有合資格參加者並設表現獎金;若未有發現關鍵漏洞,Immunefi則把3萬美元分配給報告了合規但較輕微問題的參賽者。
技術標準及機構信貸
Attackathon聚焦於構建Ripple所謂「機構級DeFi」基礎的六個技術標準。重點為XLS-66(定義借貸協議本身),並涵蓋XLS-65(單資產保管庫)、XLS-33(多用途代幣)、XLS-70(身份證明)、XLS-77(凍結機制)及XLS-80(受限域名)。
這些標準反映Ripple將信貸市場直接嵌入分類帳的理念,避免使用智能合約堆疊。公司技術文檔描述了一套配合鏈上強制執行及鏈下信貸評估的集體借貸系統。
相關標準亦涵蓋合規需求、資產可追回性與身份管控,作為分類帳原生功能。
Immunefi競賽簡介明確指出,研究人員應聚焦影響資金安全、保管庫償付能力、利息計算、債務表示、強制追回、凍結語義、管理紀錄及權限控制等漏洞。這種強調分類帳層邏輯的比一般圍繞智能合約漏洞的懸賞計畫——如專注Solidity或Ethereum虛擬機問題——更獨特。
Ripple九月以來不斷介紹這種架構,把借貸協議及保管庫標準定位為機構信貸市場的核心基礎。設計避免用包裹資產或第三方合約,因此安全研究需針對底層協議而非區塊鏈平台常見的合約級漏洞。
關鍵詞釋義
XRP分類帳是一個去中心支付網路,以共識協議(非權益證明挖礦)驗證交易。不同於需執行虛擬機智能合約的區塊鏈,XRPL開新功能需修訂核心協議並經驗證者批准,才能啟動。
因此新功能如借貸協議,必須直接寫入C++程式碼,而不能作為獨立合約部署。
無抵押借貸為該協議重點,容許借款人無需抵押資產獲取信貸,因此需健全身份驗證及信貸評分機制,由XLS-70身份標準支援。固定期限貸款則有預設還款日,與DeFi常見的彈性永續貸款形成對比。
「Attackathon」結合「攻擊」與「馬拉松」,即是一場密集、限時的安全評測,讓研究人員競逐發現漏洞。懸賞計畫一般持續舉行、獎金按嚴重度發放,而Attackathon則設限時及總獎池方案提升緊迫感。Immunefi專長於區塊鏈賽事,曾為多項協議上線前承辦此類比賽。
RLUSD是Ripple穩定幣,將用作發放賽事獎金,由美元儲備全額支持,1:1掛鈎。
總結
此安全計劃反映Ripple更重視主網部署前的對抗性測試,尤其針對非以太坊平台,傳統智能合約漏洞或不適用。截至截稿,XRP價格為2.46美元,而借貸協議具體上線日期則視乎賽事結果待定。