Krypto kaufen
Bezahlen mit
USD
USD
Kaufen & Verkaufen
Hot
Kaufen und verkaufen Sie Krypto mit Apple Pay, Karten, Google Pay, Banküberweisung und mehr.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Gate Card
Krypto Zahlungskarte, die nahtlose globale Transaktionen ermöglicht.
Märkte
Handeln
Basic
Advanced
Futures
Futures
Hunderte von Verträgen in USDT oder BTC abgerechnet
TradFi
Gold
Trade global traditional assets with USDT in one place
Options
Hot
Mit Vanilla-Optionen im europäischen Stil handeln
Einheitliches Konto
Maximieren Sie Ihre Kapitaleffizienz
Futures-Kickoff
Bereiten Sie sich auf Ihren Futures-Handel vor
Futures-Ereignisse
Nehmen Sie an Events teil, um großzügige Belohnungen zu gewinnen
Demo-Handel
Nutzen Sie virtuelle Gelder, um risikofreien Handel zu erleben
Verdienen
Launch
CandyDrop
tag
Sammle Süßigkeiten, um Airdrops zu erhalten
Launchpool
Schnelles Staking, verdienen Sie potenziell neue Token
HODLer Airdrop
Halten Sie GT und erhalten Sie kostenlos massive Airdrops
Launchpad
Seien Sie frühzeitig beim nächsten großen Token-Projekt dabei
Alpha-Punkte
Handeln Sie On-Chain-Assets und genießen Sie Airdrop-Belohnungen!
Punti Futures
Guadagna punti Futures e richiedi le ricompene dell'airdrop
Investition
Community
Quadrat
Teilen Sie Ihren Beitrag und bleiben Sie über Krypto und mehr informiert
Live
moments live
Live-Krypto-Marktanalyse
Chat
Mit Krypto-Tradern chatten
Neues aus
Aktuelles aus dem Krypto-Bereich
Mehr
Werbeaktionen
Andere
TradFi
giveaways
Belohnungs-Hub

XRPL behebt kritischen Batch-Änderungsfehler, der Gelder hätte entleeren können, entdeckt durch KI-Sicherheitswerkzeug

CryptopulseElite
XRP4,4%

XRPL Patches Critical Batch Amendment Bug That Could Have Drained Funds Die XRP Ledger Foundation bestätigte am 26. Februar 2026, dass eine kritische Schwachstelle in der Signaturvalidierungslogik des vorgeschlagenen Batch-Änderungsantrags identifiziert und vor der Aktivierung behoben wurde. Dadurch konnte ein potenzieller Angriff vermieden werden, bei dem Angreifer unautorisierte Transaktionen ausführen und Gelder stehlen könnten, ohne Zugriff auf die privaten Schlüssel der Opfer zu haben.

Entdeckt von Sicherheitstechniker Pranamya Keshkamat und Cantinas autonomem KI-Sicherheitstool Apex am 19. Februar, wurde die Schwachstelle durch eine Notfallversion von rippled 3.1.1 am 23. Februar behoben, wobei keine Gelder gefährdet waren, da die Änderung sich noch in der Abstimmungsphase befand und nie im Mainnet aktiviert wurde.

Entdeckungs- und Offenlegungszeitplan

Am 19. Februar 2026 wurde eine kritische Logikfehler im Signaturvalidierungscode des vorgeschlagenen Batch-Änderungsantrags für das XRP Ledger erkannt. Die Schwachstelle wurde durch statische Analyse des rippled-Codes durch Pranamya Keshkamat, einen Sicherheitstechniker bei der Cybersicherheitsfirma Cantina, in Zusammenarbeit mit Cantinas autonomem KI-Sicherheitstool Apex, entdeckt.

Das Entdeckungsteam reichte umgehend einen verantwortungsvollen Offenlegungsbericht bei der XRPL Foundation ein, sodass Ripple-Entwicklungsteams die Entdeckung mit einem unabhängigen Proof-of-Concept und vollständiger Unit-Test-Reproduktion validieren konnten. Die Behebungsmaßnahmen begannen noch am selben Abend.

Hari Mulackal, CEO von Cantina und Spearbit, erklärte: „Unser autonomer Bug-Jäger Apex hat diesen kritischen Fehler gefunden“, und fügte hinzu: „Wäre dieser ausgenutzt worden, wäre es der größte Sicherheits-Hack nach Dollar-Wert weltweit gewesen, mit fast 80 Milliarden Dollar direkt auf dem Spiel“, wobei er auf die Marktkapitalisierung von XRP Bezug nahm.

Technischer Charakter der Schwachstelle

Die Schwachstelle lag in der Signaturvalidierungslogik des Batch-Änderungsantrags, einer vorgeschlagenen Funktion, die die atomare Ausführung von bis zu acht Transaktionen in einem einzigen Batch ermöglicht hätte. Wenn aktiviert, sind die inneren Transaktionen in einem Batch absichtlich ungezeichnet, wobei die Autorisierung vollständig an die Liste der Batch-Signer des äußeren Batches delegiert wird.

Ursache war ein kritischer Schleifenfehler in der Funktion, die diese Signer validiert. Wenn der Validator auf einen Signer traf, dessen Konto noch nicht im Ledger existierte und dessen Signaturschlüssel mit dem eigenen Konto übereinstimmte – der Normalfall bei einem neuen Konto – erklärte er sofort Erfolg und beendete die Validierung, wodurch die Überprüfung aller verbleibenden Signer übersprungen wurde.

Dieser Fehler schuf eine klare Angriffsroute: Ein Angreifer konnte eine Batch-Transaktion erstellen, die drei innere Transaktionen enthielt – eine, die ein neues Konto kontrollierte, eine einfache Transaktion von diesem neuen Konto (das somit ein erforderlicher Signer wurde), und eine Zahlung von einem Opferkonto an den Angreifer. Durch die Angabe von zwei Batch-Signer-Einträgen – einen legitimen für das neue Konto und einen gefälschten, der das Opferkonto autorisieren sollte, aber mit dem eigenen Schlüssel des Angreifers signiert – würde die Validierung nach dem ersten Eintrag erfolgreich beendet und den zweiten nie validieren, sodass die Zahlung des Opfers ohne deren Schlüssel ausgeführt werden konnte.

Mögliche Auswirkungen und Behebung

Wäre die Batch-Änderung vor der Entdeckung des Bugs aktiviert worden, hätte ein Angreifer Gelder stehlen können, indem er innere Payment-Transaktionen ausführte, die Opferkonten bis auf die Reserve herunterzogen, unautorisierte AccountSet-, TrustSet- oder AccountDelete-Transaktionen durchführte und möglicherweise das gesamte Ökosystem durch Vertrauensverlust destabilisiert hätte.

Nach Bestätigung der Schwachstelle wurden sofort UNL-Validatoren kontaktiert und angewiesen, gegen die Batch-Änderung zu stimmen. Die Notfallversion rippled 3.1.1 wurde am 23. Februar 2026 veröffentlicht, wodurch sowohl Batch als auch fixBatchInnerSigs als nicht unterstützte Änderungen markiert wurden, um eine Abstimmung oder Aktivierung im Netzwerk zu verhindern.

Eine korrigierte Ersatzänderung, BatchV1_1, wurde implementiert, die die vollständige Logikbehebung enthält, den frühzeitigen Exit entfernt, zusätzliche Autorisierungsprüfungen hinzufügt und den Gültigkeitsbereich der Signaturprüfung verschärft. Diese Version befindet sich derzeit in einer gründlichen Überprüfung vor der Veröffentlichung, ein Zeitplan ist noch nicht festgelegt.

Die aufkommende Rolle von KI in der Cybersicherheit

Die Entdeckung unterstreicht die wachsende Bedeutung künstlicher Intelligenz in der Cybersicherheitsanwendung. Apex, Cantinas autonomes KI-Sicherheitstool, identifizierte die Schwachstelle durch statische Analyse des Codes und demonstrierte damit die Fähigkeit von KI, subtile Fehler zu erkennen, die menschliche Prüfer übersehen könnten.

Dieses Ereignis fällt zusammen mit breiteren Entwicklungen in der Branche im Bereich KI-gestützter Sicherheit. Am 20. Februar veröffentlichte Anthropic Claude Code Security, einen KI-basierten Schwachstellen-Scanner, der „wie ein erfahrener Sicherheitsexperte reasoning kann.“ Das Aufkommen dieser Tools signalisiert einen möglichen Wandel bei der Identifikation und Behebung kritischer Infrastruktur-Schwachstellen.

Reaktion der XRPL Foundation und zukünftige Maßnahmen

Die XRPL Foundation hat eine Roadmap für Sicherheitsverbesserungen vorgestellt, die unter anderem die Integration von KI-gestützten Code-Audit-Pipelines als Standard im Überprüfungsprozess vorsieht, die statische Analyse auf frühzeitige Erfolgsausgänge in Signer-Iterationen ausdehnt, explizite Kommentare und Invarianzaussagen zur erwarteten Verhaltensweise bei nicht existierenden Konten bei der Validierung hinzufügt und alle anderen Codeabschnitte überprüft, in denen frühzeitige Erfolgsausgänge in Schleifen auftreten, um ähnliche Muster auszuschließen.

Außerdem wurde ein geplanter Devnet-Reset für den 3. März 2026 angekündigt, um die Änderungen umzusetzen und zu verhindern, dass Validatoren, die aktualisieren, durch die Änderung blockiert werden. Der Reset löscht alle Devnet-Ledger-Daten, inklusive Konten, Transaktionen, Salden und andere Aufzeichnungen, wobei alle Salden auf null gesetzt und die Blocknummer auf eins zurückgesetzt wird. Mainnet, XRPL Testnet, Xahau und das Hooks-Testnet bleiben unberührt und laufen normal weiter.

FAQ: Verständnis der XRPL Batch-Änderungsantrags-Schwachstelle

Q: Was sollte die Batch-Änderung im XRP Ledger bewirken?

A: Die Batch-Änderung war eine vorgeschlagene Funktion, die die atomare Ausführung von bis zu acht Transaktionen in einem einzigen Batch erlauben sollte. Sie hätte Entwicklern ermöglicht, Anwendungen mit bezahlten Features, automatisierten Workflows und direkten On-Chain-Umsatzmodellen zu erstellen, indem mehrere Transaktionen zusammen ausgeführt werden, entweder alle erfolgreich oder alle fehlgeschlagen.

Q: Wie hätten Angreifer diese Schwachstelle ausnutzen können?

A: Angreifer hätten eine Batch-Transaktion erstellen können, die eine Zahlung zur Kontoerstellung, eine Transaktion von diesem Konto und eine Zahlung von einem Opferkonto an den Angreifer enthielt. Durch die Ausnutzung eines Fehlers, bei dem die Validierung bei einem Signer für ein nicht existierendes Konto frühzeitig abbricht, könnten sie Signaturprüfungen umgehen und Gelder stehlen, ohne die privaten Schlüssel des Opfers zu besitzen.

Q: Warum wurden bei diesem Vorfall keine Gelder gestohlen?

A: Die Batch-Änderung befand sich zum Zeitpunkt der Entdeckung noch in der Abstimmungsphase und war im Mainnet noch nicht aktiviert. Die XRPL Foundation riet den Validatoren sofort, gegen die Änderung zu stimmen, und veröffentlichte eine Notfallsoftware (rippled 3.1.1), die die Änderung vollständig deaktivierte, um eine Aktivierung zu verhindern.

Q: Welche Rolle spielte KI bei der Entdeckung dieser Schwachstelle?

A: Cantinas autonomes KI-Sicherheitstool Apex identifizierte die Schwachstelle durch statische Analyse des rippled-Codes. Die Entdeckung durch die KI, in Kombination mit der Analyse eines menschlichen Sicherheitstechnikers, ermöglichte eine verantwortungsvolle Offenlegung und Patch vor der Aktivierung der Änderung, was die wachsende Bedeutung KI-gestützter Cybersicherheits-Tools unterstreicht.

Original anzeigen
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to Disclaimer.
Kommentieren
0/400
Keine Kommentare
Handeln Sie jederzeit und überall mit Kryptowährungen
qrCode
Scannen, um die Gate App herunterzuladen
Community
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Über unsKarriereNewsroomSponsor von Oracle Red Bull RacingOffizieller Ärmelsponsor von Inter MailandNutzungsbedingungenRisiko-WarnungDatenschutzrichtlinieCookie-RichtlinieMedien-KitReserven-NachweisLizenzSicherheitGateToken (GT)GUSDGate ChainGate-VeranstaltungenStrafverfolgungGipfelGate Ventures
    P2PKonvertierungs- & BlockhandelSpot-HandelMargeEarn CenterETFFuturesTradFiAktienAlphaNFTGate PayGate LifeGeschenkkarteGate OTCGate CharityGate ShopWeb3Gate Perp DEXGate Vault
    VIP-VorteileInstitutionellBenutzer-FeedbackAnkündigungGebührenHilfezentrumAnfrage sendenAuflistungSmart Contract SicherheitEntwicklerAI Services EcosystemÜberprüfungssucheP2P-Händler-BewerbungAffiliate-ProgrammTradingViewKrypto-KalenderCross-Chain-Lösung
    Gate LearnKryptokurseKryptowährung-GlossarPreise für KryptowährungenBig DataBitcoin HalvingEthereum (ETH) UpgradeKrypto-WikiKrypto-Rechner