RippleX 已启动一项 200,000 美元的安全竞赛,邀请黑客在 XRP Ledger 的拟议借贷协议上线之前,识别其漏洞,并与区块链安全平台 Immunefi 合作,进行公司称为“Attackathon”的活动,聚焦于超过 35,000 行 C++ 代码。
知道什么:
- RippleX 和 Immunefi 将在 2025 年 10 月 27 日至 11 月 29 日期间进行一个限时的对抗性竞赛,目标是拟议的 XRPL 借贷协议和六个相关技术标准。
- 如果研究人员发现甚至一个关键漏洞,整 个 200,000 美元的奖金池将被解锁;否则,将在提交有效发现的参与者之间分配 30,000 美元的后备奖励。
- 该计划测试直接内置于 XRP Ledger 的分类账原生借贷基础设施,而不是通过外部智能合约,涵盖由 XLS-66 标准管辖的定期、无抵押信用系统。
在上线前测试协议安全性
RippleX 于 10 月 13 日宣布该计划,称竞赛将“测试和增强”借贷协议,同时提供教育课程,帮助安全研究人员了解 XRP Ledger 的架构。Immunefi 将此次努力描述为“限时、对抗性竞赛,在协议进入生产之前识别漏洞。”
该计划包括从 10 月 13 日到 10 月 27 日的教育阶段,在此期间,Immunefi 提供特定于分类账的教程、Devnet 指南、测试环境和 C++ 课程材料。
在此时间窗内,安全研究人员将能够直接访问 Ripple 工程师。
实际竞赛从 10 月 27 日持续到 11 月 29 日。
奖项将以 RLUSD 支付,即 Ripple 的美元挂钩稳定币,参与者必须通过 Immunefi 的分诊流程完成KYC验证。奖池结构创 造了二元结果:如果研究人员发现至少一个关键漏洞,整 个 200,000 美元的奖金池将可以根据执行分发规则与表现奖励提供。如果没有关键漏洞出现,Immunefi 将在提交有效低严重性发现的参与者之间分配 30,000 美元。
技术标准和机构信用
Attackathon 以六个技术标准为目标,这些标准构成了 Ripple 所称的 XRP Ledger 上“机构 DeFi”的基础。主要关注点是定义借贷协议本身的 XLS-66,但研究人员也将检查 XLS-65 用于单资产金库,XLS-33 用于多用途代币,XLS-70 用于凭据,XLS-77 用于冷冻功能以及 XLS-80 用于许可域。
这些标准反映了 Ripple 将信用市场直接构建到分类账中而不是通过智能合约来叠加的做法。公司的技术文档描述了一种与链上执行配对的线下信用评估相结合的联合借贷系统。
相关标准处理合规要求、资产可恢复性和身份控制作为原生分类账功能。
Immunefi 的竞赛简报规定研究人员应专注于影响资金安全、金库偿付能力、利息计算、债务表示、追回机制、冻结语义、管理记录和权限访问控制的漏洞。这种强调分类账级逻辑的方法区别于典型的智能合约漏洞赏金,后者关注 Solidity 或 Ethereum 虚拟机问题。
Ripple 在整个 9 月讨论了该架构,将借贷和金库标准定位为机构信用市场的核心基础设施。设计避免了包裹资产和第三方合同,这意味着安全研究人员必须寻找基础协议实现中的缺陷,而不是其他区块链平台常见的合同级漏洞。
了解关键术语
XRP Ledger 作为分散的支付网络进行操作,通过共识协议处理交易,而不是工作量证明挖矿。与在虚拟机中运行智能合约的区块链不同,XRPL 通过对核心协议的修改来实现新功能,要求在激活前得到验证者的批准。
这种架构差异意味着像贷款协议这样的新功能必须内置于分类账的 C++ 代码库中,而不是作为单独的合约代码部署。
无抵押贷款是拟议协议的核心功能,允许借款人在不抵押资产作为担保的情况下获得信用。这种方法需要强有力的身份验证和信用评估机制,这正是 XLS-70 凭证标准的目标。定期贷款在预定时间表上运作,具有定义的还款日期,与常见于去中心化金融应用的永久性、可变利率安排形成对比。
“Attackathon”一词结合了“攻击”和“马拉松”两个词,描述了一种集中的、限时的安全审计,研究人员竞相寻找漏洞。漏洞赏金程序通常无限期运行,奖励随漏洞严重性缩放,而 Attackathons 将测试期压缩并提供联合奖金以制造紧迫感。Immunefi 专注于针对区块链项目的这些竞赛,之前曾为其他协议在上线前进行过类似的程序。
Ripple 的稳定币 RLUSD 将用于竞赛支出,通过储备支持维持与美元的一对一挂钩。
结束思考
安全计划代表了在生产部署前进行对抗性测试的转变,尤其是对于非以太坊架构的区块链来说,其中传统的智能合约漏洞可能不适用。截至发稿时,XRP 市价为 $2.46,借贷协议的最终上线日期尚未公布,需等待安全竞赛的结果。