- 広告 -* * * * * AI主導のセキュリティ監査ツールが、2026年2月にXRP Ledger(XRPL)内で重大なダブルスペンドの脆弱性を特定し、単一のウォレットに触れる前にユーザー資産の数億ドル規模の損失を防げた可能性がある。バグが実際にやったこと-------------------------この脆弱性は、**2つの特定のXRPL機能**の交差点にあった。部分支払い(Partial Payments)と、特定のエスクロー型スマートコントラクトのロジックだ。単独では、どちらの機能も問題ではなかった。だが、特定の条件のもとで組み合わさることで、攻撃者が意図されたXRPのほんの一部しか動いていないのに、支払いが完全に決済済みとして記録されるように台帳をだませる悪用経路が生まれた。この種の悪用の現実的な標的になり得たのは、台帳上で稼働する自動マーケットメーカー(AMM)や分散型取引所(DEX)だ。どちらも、正確な決済ロジックに依存して正しく機能する。部分的な価値しか届けていないのに完全であると読める取引は、会計が間違っていることに誰も気づく前に、AMMやDEXから流動性を吸い出す類の不一致そのものだ。このバグは単純ではなかった。標準的な人間の監査プロセスではめったに表面化しない、エッジケースの相互作用をシミュレートする必要があり、だからこそAIセキュリティツールが見つけるまで未検出のままだった。見つけられて修正された経緯--------------------------発見は、形式的検証(formal verification)の手法を用いるAI監査ツールによるものとしてクレジットされている。報道によれば、それはCertiKまたはImmunefiの領域で事業を行っている企業からのものだ。形式的検証は、コードの振る舞いを、あり得る数十億もの取引状態にわたって数学的にモデル化することで行う。これには、人間の監査人がテストしようと思わないような、通常の利用パターンの外にある組み合わせも含まれる。その脆弱性は、そうした組み合わせの一つに潜んでいた。発見後、XRPL FoundationとRippleのエンジニアリングチームは、公開前にセキュリティ企業と非公開で連携してパッチを開発した。その後、修正はXRPLの標準的な改定(amendment)ガバナンス手続きを通じて提出された。この手続きでは、採用のために14日間のバリデーターネットワーク上で80%のコンセンサスが必要となる。改定は成立した。資金は失われなかった。ゼロ。この修正は、rippledバージョン2.3.0以降に統合されている。 ### 暗号市場には、日曜にやってくる“残りの1つの触媒”がある ガバナンス対応が重要な理由-----------------------------------技術的な修正は物語の一部だ。ガバナンス対応がもう一部である。XRPLは、ハードフォークなしで、チェーンの分裂なしで、そしてネットワーク停止の期間なしで、重大な脆弱性を解決した。XRPLの批判者が、ときに「遅い」または「過度に保守的」と特徴づける改定プロセスでも、真に深刻なセキュリティ問題を効率的に、そしてユーザーに何の被害も出さずに処理した。Rippleの決済インフラを使う機関投資家にとって、この結果には実際の重みがある。主要なLayer 1ネットワークが、悪用の前に、コードロジックのレベルで重要な欠陥を、秩序あるバリデーターのコンセンサス手続きによってパッチできるという能力は、規模での機関採用に向けた議論が移るときに重要になる種類の運用実績だ。より広いシグナル------------------このインシデントは、生成AIによる監査ツールが、人間のレビューでは見落とされたプロダクションのブロックチェーン基盤上の脆弱性を特定した、より重要な初期事例の一つを示している。含意は、人間の監査人が時代遅れだということではない。マシンスケールでの形式的検証と、人間の専門性という組み合わせが、いずれか一方だけが生み出すよりも実質的に強いセキュリティ態勢を構築する、ということだ。
AIツールがハッカーが攻撃できる前に、重要なXRPレジャーのバグを検出
AI主導のセキュリティ監査ツールが、2026年2月にXRP Ledger(XRPL)内で重大なダブルスペンドの脆弱性を特定し、単一のウォレットに触れる前にユーザー資産の数億ドル規模の損失を防げた可能性がある。
バグが実際にやったこと
この脆弱性は、2つの特定のXRPL機能の交差点にあった。部分支払い(Partial Payments)と、特定のエスクロー型スマートコントラクトのロジックだ。単独では、どちらの機能も問題ではなかった。だが、特定の条件のもとで組み合わさることで、攻撃者が意図されたXRPのほんの一部しか動いていないのに、支払いが完全に決済済みとして記録されるように台帳をだませる悪用経路が生まれた。
この種の悪用の現実的な標的になり得たのは、台帳上で稼働する自動マーケットメーカー(AMM)や分散型取引所(DEX)だ。どちらも、正確な決済ロジックに依存して正しく機能する。部分的な価値しか届けていないのに完全であると読める取引は、会計が間違っていることに誰も気づく前に、AMMやDEXから流動性を吸い出す類の不一致そのものだ。
このバグは単純ではなかった。標準的な人間の監査プロセスではめったに表面化しない、エッジケースの相互作用をシミュレートする必要があり、だからこそAIセキュリティツールが見つけるまで未検出のままだった。
見つけられて修正された経緯
発見は、形式的検証(formal verification)の手法を用いるAI監査ツールによるものとしてクレジットされている。報道によれば、それはCertiKまたはImmunefiの領域で事業を行っている企業からのものだ。形式的検証は、コードの振る舞いを、あり得る数十億もの取引状態にわたって数学的にモデル化することで行う。これには、人間の監査人がテストしようと思わないような、通常の利用パターンの外にある組み合わせも含まれる。その脆弱性は、そうした組み合わせの一つに潜んでいた。
発見後、XRPL FoundationとRippleのエンジニアリングチームは、公開前にセキュリティ企業と非公開で連携してパッチを開発した。その後、修正はXRPLの標準的な改定(amendment)ガバナンス手続きを通じて提出された。この手続きでは、採用のために14日間のバリデーターネットワーク上で80%のコンセンサスが必要となる。改定は成立した。資金は失われなかった。ゼロ。
この修正は、rippledバージョン2.3.0以降に統合されている。
ガバナンス対応が重要な理由
技術的な修正は物語の一部だ。ガバナンス対応がもう一部である。XRPLは、ハードフォークなしで、チェーンの分裂なしで、そしてネットワーク停止の期間なしで、重大な脆弱性を解決した。XRPLの批判者が、ときに「遅い」または「過度に保守的」と特徴づける改定プロセスでも、真に深刻なセキュリティ問題を効率的に、そしてユーザーに何の被害も出さずに処理した。
Rippleの決済インフラを使う機関投資家にとって、この結果には実際の重みがある。主要なLayer 1ネットワークが、悪用の前に、コードロジックのレベルで重要な欠陥を、秩序あるバリデーターのコンセンサス手続きによってパッチできるという能力は、規模での機関採用に向けた議論が移るときに重要になる種類の運用実績だ。
より広いシグナル
このインシデントは、生成AIによる監査ツールが、人間のレビューでは見落とされたプロダクションのブロックチェーン基盤上の脆弱性を特定した、より重要な初期事例の一つを示している。含意は、人間の監査人が時代遅れだということではない。マシンスケールでの形式的検証と、人間の専門性という組み合わせが、いずれか一方だけが生み出すよりも実質的に強いセキュリティ態勢を構築する、ということだ。