XRP Ledger は、所有者の署名なしにアカウントを空にできる機能を間もなくリリースするところだった
概要
XRP Ledger(XRPL)の提案された「Batch」修正案に重大なセキュリティ脆弱性が発見されました。この修正案は、複数のアクションを単一の原子トランザクションにバンドルできるようにすることを目的としていました。セキュリティ研究者によって2月19日に報告されたこの問題は、メインネットワークに到達する前に阻止されました。もし有効化されていれば、このバグはバッチ署名者の検証におけるループエラーに起因し、攻撃者が被害者の秘密鍵にアクセスすることなく、あたかも別のアカウントによって承認されたかのように内部トランザクションを実行し、被害者のアカウントを空にしたり、台帳設定を変更したりする可能性がありました。この欠陥は、台帳上にまだ存在しないアカウントの署名者に遭遇した場合に検証ループが早期に成功するという条件を悪用したものです。XRPL財団は迅速に対応し、信頼できるバリデーター(UNL)に修正案に「否」と投票するよう助言し、修正案のパスをブロックするための緊急リリース(rippled 3.1.1)を発行しました。このインシデントは、XRPLが資産トークン化やコンプライアンス重視の活動のために機関採用を積極的に進めている時期に発生したため、セキュリティの失敗は評判に大きな影響を与えました。修正された代替案であるBatchV1_1が現在審査中であり、この事件は、XRPLが規制金融向けに機能を拡大するにつれて、署名検証のような地味な作業の重要性が増していることを浮き彫りにしました。
(出典:CryptoSlate)