تصحيحات XRPL تصحح خطأ هام في دفعة التعديلات التي كانت قد تؤدي إلى تصريف الأموال، اكتشفها أداة أمان تعتمد على الذكاء الاصطناعي

أكدت مؤسسة XRP Ledger في 26 فبراير 2026 أن ثغرة حرجة في منطق التحقق من التوقيع في التعديل المقترح “Batch” تم تحديدها وتصحيحها قبل التفعيل، مما حال دون استغلال محتمل كان يمكن أن يسمح للمهاجمين بتنفيذ معاملات غير مصرح بها وسحب الأموال دون الوصول إلى المفاتيح الخاصة للضحايا.

تم اكتشاف الثغرة بواسطة مهندس الأمان براناميا كيشكامات وأداة الأمان الذكية المستقلة من كانتينا، أبيكس، في 19 فبراير، وتم التعامل معها من خلال إصدار طارئ من نسخة rippled 3.1.1 في 23 فبراير، مع عدم وجود أموال في خطر حيث لا يزال التعديل في مرحلة التصويت ولم يتم تفعيله على الشبكة الرئيسية.

جدول اكتشاف الثغرة وكشفها

في 19 فبراير 2026، تم تحديد خلل حرج في منطق التحقق من التوقيع في التعديل المقترح “Batch” لشبكة XRP Ledger. تم اكتشاف الثغرة من خلال تحليل ثابت لقاعدة كود rippled بواسطة براناميا كيشكامات، مهندس أمان في شركة كانتينا، بالتعاون مع أداة الأمان الذكية المستقلة من كانتينا، أبيكس.

قدم فريق الاكتشاف تقرير كشف مسؤول على الفور لمؤسسة XRPL، مما سمح لفرق هندسة ريبل بالتحقق من الاكتشاف باستخدام إثبات مفهوم مستقل وإعادة إنتاج اختبار الوحدة الكامل. وبدأت جهود الإصلاح في نفس الليلة.

قال هاري مولاكال، المدير التنفيذي لشركة كانتينا وسبيربيت، “لقد وجد أداة اكتشاف الأخطاء الذاتية، أبيكس، هذا الخطأ الحرج”، مضيفًا أن “لو تم استغلاله، لكان أكبر اختراق أمني من حيث القيمة المالية في العالم، مع خطر مباشر يقارب 80 مليار دولار”، في إشارة إلى القيمة السوقية لـ XRP.

طبيعة الثغرة الفنية

كانت الثغرة في منطق التحقق من التوقيع في التعديل “Batch”، وهو ميزة مقترحة تسمح بتنفيذ متسلسل لغاية ثمانية معاملات في عملية واحدة. عند تفعيلها، تكون المعاملات الداخلية في الدفعة غير موقعة عمدًا، مع تفويض كامل للمصادقة إلى قائمة الموقعين على الدفعة الخارجية.

السبب الجذري كان خطأ حلقي حرج في الدالة المسؤولة عن التحقق من هؤلاء الموقعين. عندما يواجه المدقق موقعًا غير موجود بعد على السجل وكان مفتاح توقيعه مطابقًا لحسابه الخاص — وهو الحالة الطبيعية لحساب جديد — يعلن النجاح فورًا ويخرج، متجاوزًا التحقق من باقي الموقعين تمامًا.

أدى هذا العيب إلى مسار استغلال واضح: يمكن للمهاجم إنشاء معاملة دفعة تحتوي على ثلاث معاملات داخلية — واحدة لإنشاء حساب جديد يسيطر عليه، وواحدة لمعاملة بسيطة من ذلك الحساب الجديد (جعلها موقعًا مطلوبًا)، وواحدة لعملية دفع من حساب ضحية إلى المهاجم. من خلال تقديم مدخلين للموقعين في الدفعة — واحد شرعي للحساب الجديد وآخر مزور يدعي تفويض حساب الضحية ولكنه موقّع بمفتاح المهاجم — ستنتهي عملية التحقق بنجاح بعد الإدخال الأول ولن يتم التحقق من الثاني، مما يسمح بتنفيذ دفع الضحية دون مشاركة مفاتيحهم.

التأثير المحتمل والإصلاحات

لو تم تفعيل تعديل “Batch” قبل اكتشاف الثغرة، كان بإمكان المهاجم سرقة الأموال من خلال تنفيذ معاملات دفع داخلية تفرغ حسابات الضحايا حتى الحد الأدنى، وتغيير حالة السجل عبر معاملات غير مصرح بها مثل AccountSet أو TrustSet أو AccountDelete، وربما زعزعة استقرار النظام الأوسع بفقدان الثقة في XRPL.

عند تأكيد الثغرة، تم الاتصال فورًا بمصادقين من UNL ونصحهم بالتصويت ضد تعديل “Batch”. تم إصدار النسخة الطارئة rippled 3.1.1 في 23 فبراير 2026، مع وضع كل من “Batch” و"fixBatchInnerSigs" في حالة عدم الدعم، مما يمنع تصويتها أو تفعيلها على الشبكة.

تم تنفيذ تعديل بديل مصحح، وهو “BatchV1_1”، مع إصلاح كامل للمنطق وإزالة شرط الخروج المبكر، وإضافة حراس تفويض إضافيين، وتضييق نطاق فحص التوقيع. هذا التعديل يخضع حالياً لمراجعة دقيقة قبل الإصدار، ولم يتم تحديد جدول زمني بعد.

الدور المتزايد للذكاء الاصطناعي في الأمن السيبراني

تسلط هذه الحادثة الضوء على الدور المتزايد للذكاء الاصطناعي في تطبيقات الأمن السيبراني. أداة أمان كانتينا الذاتية، أبيكس، حددت الثغرة عبر تحليل ثابت لقاعدة الكود، مما يبرز قدرة الذكاء الاصطناعي على اكتشاف أخطاء دقيقة قد يغفل عنها المراجعون البشريون.

تزامنًا مع ذلك، شهدت الصناعة تطورات أوسع في مجال الأمن المدعوم بالذكاء الاصطناعي. في 20 فبراير، أطلقت شركة أنثروبيك “Claude Code Security”، وهي أداة فحص ثغرات أمنية تعتمد على الذكاء الاصطناعي وتدعي أنها “يمكنها التفكير كخبير أمني ماهر”. ظهور هذه الأدوات يشير إلى تحول محتمل في كيفية تحديد ومعالجة الثغرات في البنى التحتية الحيوية.

استجابة مؤسسة XRPL والإجراءات المستقبلية

حددت مؤسسة XRPL خارطة طريق لتعزيز الأمان استجابة للحادثة، تتضمن إضافة خطوط تدقيق برمجية مدعومة بالذكاء الاصطناعي كخطوة قياسية في عملية المراجعة، وتوسيع تغطية التحليل الثابت للكشف عن عودات النجاح المبكرة داخل حلقات التحقق من الموقعين، وإضافة تعليقات صريحة وادعاءات ثابتة توثق السلوك المتوقع للحسابات غير المنشأة عند التحقق، ومراجعة جميع المواقع الأخرى في قاعدة الكود التي تحتوي على عودات نجاح مبكرة داخل الحلقات للتأكد من عدم وجود أنماط مماثلة.

كما أعلنت المؤسسة عن إعادة ضبط شبكة التطوير (devnet) المقررة في 3 مارس 2026، لاستيعاب التغييرات ومنع المصادقين الذين يقومون بالترقية من عرقلة التعديلات. ستقوم عملية إعادة الضبط بحذف جميع بيانات سجل التطوير، بما في ذلك الحسابات والمعاملات والأرصدة والسجلات الأخرى، مع إعادة تعيين جميع الأرصدة إلى الصفر وإعادة رقم الكتلة إلى واحد. ستستمر الشبكات الرئيسية، وشبكة الاختبار XRPL، وXahau، وشبكة الاختبار Hooks في العمل بشكل طبيعي دون تأثر.

الأسئلة الشائعة: فهم ثغرة تعديل “Batch” في XRPL

س: ماذا كان من المفترض أن يفعل تعديل “Batch” على XRP Ledger؟

ج: كان تعديل “Batch” ميزة مقترحة تسمح بتنفيذ متسلسل لغاية ثمانية معاملات في عملية واحدة. كان سيمكن المطورين من بناء تطبيقات بميزات مدفوعة، وسير عمل آلي، ونماذج إيرادات مباشرة على السلسلة، من خلال ضمان تنفيذ عدة معاملات معًا إما جميعها تنجح أو جميعها تفشل.

س: كيف يمكن للمهاجمين استغلال هذه الثغرة؟

ج: يمكن للمهاجمين إنشاء معاملة دفعة تحتوي على إنشاء حساب جديد، ومعاملة من ذلك الحساب، ودفع من حساب ضحية. من خلال استغلال خلل يسبب خروج التحقق مبكرًا عند مواجهة موقع غير موجود، يمكنهم تجاوز فحوصات التوقيع على دفع الضحية وسحب الأموال دون امتلاك المفاتيح الخاصة للضحية.

س: لماذا لم يُخسر أي أموال في هذا الحادث؟

ج: كان تعديل “Batch” لا يزال في مرحلة التصويت ولم يتم تفعيله على الشبكة الرئيسية عند اكتشاف الثغرة. نصحت مؤسسة XRPL المصادقين بالتصويت ضد التعديل وأصدرت إصدارًا طارئًا من البرنامج (rippled 3.1.1) يعطله تمامًا، مما يمنع أي احتمال للتفعيل.

س: ما هو دور الذكاء الاصطناعي في اكتشاف هذه الثغرة؟

ج: حددت أداة أمان كانتينا الذاتية، أبيكس، الثغرة عبر تحليل ثابت لقاعدة الكود. ساهم اكتشاف الذكاء الاصطناعي، مع تحليل المهندس البشري، في الكشف المسؤول وتصحيح الثغرة قبل تفعيل التعديل، مما يبرز الأهمية المتزايدة لأدوات الأمن السيبراني المدعومة بالذكاء الاصطناعي.