RippleX發起20萬美元安全競賽,邀請駭客於XRP Ledger擬議中的借貸協議正式上線前找出潛在漏洞,並與區塊鏈安全平台Immunefi合作舉辦所謂的「Attackathon」,目標針對超過35,000行C++程式碼進行測試。
必知重點:
- RippleX與Immunefi於2025年10月27日至11月29日舉辦限時對抗性競賽,對象為XRPL借貸協議提案及六項相關技術標準。
- 只要研究人員發現一項重大漏洞,即可解鎖20萬美元全部獎金;若僅有較低等級有效發現,則由參與者平分3萬美元備援獎金。
- 計劃測試建構於XRP Ledger本身、非外部智能合約的帳本原生借貸基礎設施,涵蓋依據XLS-66標準治理的固定期限、無抵押信貸系統。
上線前測試協議安全性
RippleX於10月13日公布此計劃,並表示競賽旨在「測試及強化」借貸協議,同時提供教育課程協助安全研究人員瞭解XRP Ledger架構。Immunefi則形容本活動為「限時、對抗性競賽,在協議進入生產環境前找出漏洞。」
教育階段自10月13日至10月27日舉行期間,Immunefi將提供專屬帳本教學、Devnet操作指南、測試環境及C++課程教材。
於此期間,安全研究人員亦能直接與Ripple工程師互動。
正規競賽時段為10月27日至11月29日。
獎金將以Ripple的美元掛鉤穩定幣RLUSD發放,參賽者須經Immunefi的身份驗證流程。獎勵結構設計為二元模式:若至少發現一項關鍵漏洞,20萬美元全數發放並依照表現分配獎金;否則,Immunefi將把3萬美元分配給提交有效但嚴重程度較低發現的參與者。
技術標準與機構級信貸
Attackathon競賽聚焦於六項技術標準,這些標準構成Ripple於XRP Ledger建構「機構級DeFi」基礎的核心。重點為定義借貸協議本身的XLS-66;此外還有XLS-65針對單一資產保管庫、XLS-33多功能代幣、XLS-70憑證、XLS-77凍結功能及XLS-80權限域。
這些標準反映Ripple將信貸市場直接建立在帳本底層,而非透過智能合約層進行堆疊。技術文件說明該系統為鏈上強制執行與鏈下信貸評估結合的資金池借貸架構。
相關標準同步支援合規需求、資產回復能力與身份管理機制,皆為帳本原生功能。
Immunefi的競賽說明要求研究人員重點關注影響資金安全、保管庫清算、利息計算、債務表示、追索機制、凍結語義、行政紀錄及權限控制等協議安全,強調帳本層邏輯與傳統著重Solidity或Ethereum虛擬機問題的智能合約漏洞賞金獵人計畫有明顯區隔。
近期Ripple已多次說明該架構,將借貸及保管標準定位為機構信用市場核心基礎。此設計避開包裹資產與第三方合約,安全研究人員需直接審查基礎協議實作,而非如同其他區塊鏈平台常見的合約漏洞。
重要專有名詞解析
XRP Ledger為一去中心化支付網路,採共識協議處理交易,非以工作量證明挖礦。與以虛擬機運行智能合約的區塊鏈不同,XRPL透過核心協議修正增加新功能,啟用前須經驗證者批准。
此一架構意味著如借貸協議這類新功能必須在帳本C++原始碼層級實作,而非獨立合約部署。
無抵押放貸作為協議核心,可讓借款人在無須質押資產的情況下獲取信用。這須搭配完善身份驗證及信貸評估機制,正由XLS-70憑證標準提供。固定期限貸款按預定計劃與還款日執行,有別於去中心化金融常見的無限期、浮動利率型態。
「Attackathon」結合「攻擊」與「馬拉松」兩詞,代表研究人員在限時壓力下展開密集安全稽核競賽。與常態獎勵依嚴重性分級的Bug Bounty不同,Attackathon縮短測試期間並以總獎池方式激發緊迫感,Immunefi已多次為區塊鏈項目舉辦此類活動。
RLUSD為Ripple推出的一對一美元掛鉤穩定幣,並備有儲備資產。
總結
此安全計劃代表上線前朝對抗性測試邁進,尤其針對非Ethereum鏈架構(傳統智能合約漏洞未必適用)。截稿時,XRP報價2.46美元,借貸協議最終上線日期將視安全競賽結果而定。