XRPL危机解除：关键漏洞险些掏空XRP钱包_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

XRPL危机解除：关键漏洞险些掏空XRP钱包

2026-02-27 22:20:20

XRPL重大漏洞几乎导致全网用户钱包暴露

安全研究人员在主网激活前成功拦截了批次修正案，紧急补丁修复了可绕过签名验证的漏洞。当开发者确认XRP账本提案代码中出现严重漏洞后，整个XRP生态系统短暂陷入紧张状态。尽管该漏洞从未触及实时网络，但其潜在后果极为严重，急需验证者与核心贡献者的紧急应对。

批次修正案中的授权漏洞

该问题出现在编号为XLS-56的批次修正案中，该修正案当时仍处于验证者投票阶段，尚未在主网激活。独立安全研究人员与名为Apex的AI安全工具共同发现了这一缺陷。研究显示，攻击者可能在无需私钥的情况下清空用户钱包，这一可能性立即引发了社区警觉。

值得庆幸的是，该修正案当时未获得足够的验证者支持以激活，因此没有用户资金暴露，也没有交易受到损害。开发团队迅速发布Rippled 3.1.1版本更新，明确将批次修正案标记为不受支持，有效防止了漏洞代码被意外激活。

循环验证漏洞导致授权机制失效

该批次修正案原本旨在提升效率，允许在单一外部签名下执行多个内部交易。这些内部交易为降低处理需求而未设置签名，系统转而依赖外部批次的签署者列表进行授权。

然而，签署者验证逻辑的复杂性引入了风险。在验证过程中，系统处理检查授权账户的循环时，若遇到账本上尚未存在的账户关联签署者，便会触发异常行为。当签名密钥与该新账户匹配时，系统会立即将验证标记为成功。

匹配发生后，软件会提前退出循环并跳过后续检查。这种提前退出的机制形成了授权绕过漏洞。攻击者可能通过精心构造特定批次序列来利用此缺陷，从而在未经合法授权的情况下转移资金或篡改账本状态。

尽管该攻击场景最终未成为现实，开发者仍承认漏洞的严重性。工程师已在更新代码中移除提前退出逻辑，并强化了授权保护机制。修改后的修正案在重新进入投票审议前，目前正接受同行评审。

治理机制成功规避网络风险

此次未遂事件凸显了XRP账本修正流程对系统性风险的控制能力。提案升级需获得验证者共识才能激活，该结构为社区监督与技术审查留出了时间。此外，独立研究人员与自动化安全工具的协作也增强了漏洞检测能力。

透明的披露机制使得开发者能够协调快速响应，最终避免了可能发生的重大网络中断。该事件证明，多层审查机制对于维护XRPL稳定性具有核心作用。

安全响应彰显治理价值

研究人员发现可能清空用户钱包的漏洞后，XRPL通过快速修补与结构化治理机制成功避免重大损失。这一事件再次表明，在协议修正案生效前进行严格安全审查至关重要。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文