XRP Ledger 险些发布一项可在未经所有者签名的情况下耗尽账户的功能

XRP Ledger (XRPL) 提议的“Batch”修正案中发现了一个严重的安全漏洞，该修正案旨在允许用户将多个操作捆绑成一个原子交易。安全研究人员于2月19日报告了此问题，阻止了其在主网上线。如果该修正案被激活，该错误源于批次签名者验证中的一个循环错误，攻击者可以执行内部交易，就好像它们已获得另一账户的授权，而无需受害者私钥，从而可能耗尽受害者账户或更改分类账设置。该漏洞利用了一个条件：如果验证循环遇到一个尚未在分类账上存在的账户的签名者，它会立即返回成功并停止检查。XRPL 基金会迅速采取行动，通知受信任的验证者（UNL）投票否决该修正案，并发布了紧急版本（rippled 3.1.1）来阻止其激活路径。此次事件发生在 XRPL 积极寻求机构采用以进行资产代币化和合规敏感活动之际，因此安全失败对声誉影响重大。一个经过修正的替代方案 BatchV1_1 正在审查中，此次事件凸显了随着 XRPL 扩展其功能以支持受监管金融，签名验证等基础工作变得愈发重要。

(来源：CryptoSlate)