Фонд XRP Ledger подтвердил, что устранил критическую уязвимость, обнаруженную в еще не активированной поправке к XRP Ledger от Ripple, предотвратив потенциально серьезную эксплуатацию.
19 февраля инженер по безопасности компании Cantina, Пранамья Кешкамат, и AI-бот Cantina по безопасности идентифицировали «критический логический дефект» в логике проверки подписей блокчейна Ripple, XRP Ledger, сообщила в четверг XRP Ledger Foundation.
Уязвимость в пакетном изменении кода проверки подписей позволила бы злоумышленнику выполнять транзакции со счетов жертв, включая вывод средств, без доступа к их закрытым ключам.
«Поправка находилась на стадии голосования и не была активирована в основной сети; средства не подвергались риску», — заявила XRPLF.
Источник: XRP Ledger Foundation
Эксплуатация могла дестабилизировать экосистему
Помимо потенциального хищения средств и изменения состояния реестра, уязвимость могла бы «дестабилизировать экосистему», заявила XRPLF.
«Успешная крупномасштабная эксплуатация могла бы привести к существенной потере доверия к XRPL и, возможно, к серьезным сбоям для более широкой экосистемы».
Генеральный директор Cantina и Spearbit Хари Мулаккал заявил: «Наш автономный охотник за ошибками, Apex, обнаружил эту критическую ошибку».
«Если бы это было эксплуатировано, это была бы крупнейшая в мире взломовая атака по стоимости в долларовом выражении, с риском для активов на сумму почти 80 миллиардов долларов», — добавил он, возможно, ссылаясь на рыночную капитализацию XRP (XRP).
Появление AI-сканеров кибербезопасности
Автономный AI-инструмент безопасности, разработанный Cantina AI, выявил уязвимость посредством «статического анализа кодовой базы rippled» и предоставил отчет о раскрытии информации, позволяющий инженерным командам Ripple подтвердить ее и приступить к исправлению кода.
Валидаторам было рекомендовано проголосовать против поправки, и 23 февраля была опубликована экстренная версия (rippled 3.1.1) для блокировки активации поправки, заявила XRPLF.
Искусственный интеллект все чаще используется для целей кибербезопасности для выявления ошибок в коде, которые могут быть упущены из виду людьми.
Anthropic выпустила Claude Code Security, свой AI-сканер уязвимостей кибербезопасности, который, по ее утверждению, «может рассуждать как опытный исследователь в области безопасности» 20 февраля, что привело к падению акций публичных компаний в сфере IT-безопасности.
