- 広告 -* * * * * AI駆動のセキュリティ監査ツールが、2026年2月にXRP Ledger(XRPレジャー)内で重大なダブルスペンドの脆弱性を特定し、単一のウォレットに触れられる前にユーザー資産の数億ドル規模の損失を防げた可能性があるとしている。バグは実際に何をしたのか-------------------------この脆弱性は、**2つの特定のXRPL機能**の交差点にあった。部分的支払い(Partial Payments)と、一定のエスクロー型スマートコントラクトのロジックである。単体では、どちらの機能も問題ではなかった。だが特定の条件下で組み合わさることで、意図されたXRPのほんの一部しか実際には動いていないにもかかわらず、台帳に支払いが完全に決済されたように記録させることができる悪用経路が生まれた。この種の悪用の実用的な標的は、台帳上で稼働する自動マーケットメーカー(AMM)や分散型取引所(DEX)になるはずだった。これらは正確な決済ロジックに依存して正しく機能する。受け渡された価値が部分的なのに、完了として読めるトランザクションは、会計が間違っていることに誰も気づく前に、AMMやDEXから流動性を吸い取ってしまう種類の不一致そのものだ。このバグは単純ではない。標準的な人間の監査プロセスでは滅多に表面化しないエッジケースの相互作用をシミュレートする必要があり、だからこそ、AIセキュリティツールが発見するまで見逃されていた。どのように見つかり、どう修正されたのか-------------------------------発見は、形式手法(formal verification)による手法を用いるAI監査ツールによるものとされ、CertiKまたはImmunefiの領域で事業を行う企業からだったと報じられている。形式手法は、通常、人間の監査人がテストしようと思わないような組み合わせを含め、あり得る数十億もの取引状態にわたるコードの挙動を数学的にモデル化することで機能する。その脆弱性は、そうした組み合わせの1つに潜んでいた。発見後、XRPL Foundationとリップルのエンジニアリングチームは、公開の前にセキュリティ企業と非公開で協力してパッチを開発した。修正は、その後XRPLの標準的な改訂(amendment)ガバナンスのプロセスを通じて提出された。このプロセスでは、採用されるにはバリデータネットワークから14日間の期間にわたり80%のコンセンサスが必要となる。改訂は可決された。資金は失われなかった。ゼロ。この修正は、rippled バージョン2.3.0以上に統合されている。 ### 暗号市場には、まだ織り込むべき1つの触媒が残っていて、それは日曜日に到来する なぜガバナンス対応が重要なのか-----------------------------------技術的な修正は物語の一部にすぎない。ガバナンス対応がもう一つの部分だ。XRPLはハードフォークなしで、チェーン分裂なしで、そしてネットワーク停止の期間なしで、重大な脆弱性を解決した。XRPLに対する批判者が、時に「遅い」あるいは「過度に慎重」だと評してきた改訂プロセスが、実際に本質的に深刻なセキュリティ問題を、効率よく、ユーザーへの付随的被害(コラテラルダメージ)を伴わずに処理したのだ。リップルの決済インフラを利用する機関投資家にとって、この結果は確かな重みを持つ。主要なLayer 1ネットワークが、悪用される前に、コードロジックのレベルでクリティカルな欠陥をパッチできること。そして秩序だったバリデータのコンセンサス手順を通じて、そうした対応を実現できることは、規模を持った機関導入へと議論が移行するときに重要になる運用実績の種類そのものだ。より広いシグナル------------------この出来事は、人間のレビューでは見落とされたプロダクション向けブロックチェーン基盤の脆弱性を、生成型AI監査ツールが特定したという、より重要な初期事例の1つを示している。含意は、人間の監査人が不要だということではない。機械規模での形式手法と、人間の専門性の組み合わせが、どちらか一方だけが生み出すよりも、実質的に強いセキュリティ態勢を作るということだ。
AIツールがハッカーが攻撃できる前に、重要なXRPレジャーのバグを検出
AI駆動のセキュリティ監査ツールが、2026年2月にXRP Ledger(XRPレジャー)内で重大なダブルスペンドの脆弱性を特定し、単一のウォレットに触れられる前にユーザー資産の数億ドル規模の損失を防げた可能性があるとしている。
バグは実際に何をしたのか
この脆弱性は、2つの特定のXRPL機能の交差点にあった。部分的支払い(Partial Payments)と、一定のエスクロー型スマートコントラクトのロジックである。単体では、どちらの機能も問題ではなかった。だが特定の条件下で組み合わさることで、意図されたXRPのほんの一部しか実際には動いていないにもかかわらず、台帳に支払いが完全に決済されたように記録させることができる悪用経路が生まれた。
この種の悪用の実用的な標的は、台帳上で稼働する自動マーケットメーカー(AMM)や分散型取引所(DEX)になるはずだった。これらは正確な決済ロジックに依存して正しく機能する。受け渡された価値が部分的なのに、完了として読めるトランザクションは、会計が間違っていることに誰も気づく前に、AMMやDEXから流動性を吸い取ってしまう種類の不一致そのものだ。
このバグは単純ではない。標準的な人間の監査プロセスでは滅多に表面化しないエッジケースの相互作用をシミュレートする必要があり、だからこそ、AIセキュリティツールが発見するまで見逃されていた。
どのように見つかり、どう修正されたのか
発見は、形式手法(formal verification)による手法を用いるAI監査ツールによるものとされ、CertiKまたはImmunefiの領域で事業を行う企業からだったと報じられている。形式手法は、通常、人間の監査人がテストしようと思わないような組み合わせを含め、あり得る数十億もの取引状態にわたるコードの挙動を数学的にモデル化することで機能する。その脆弱性は、そうした組み合わせの1つに潜んでいた。
発見後、XRPL Foundationとリップルのエンジニアリングチームは、公開の前にセキュリティ企業と非公開で協力してパッチを開発した。修正は、その後XRPLの標準的な改訂(amendment)ガバナンスのプロセスを通じて提出された。このプロセスでは、採用されるにはバリデータネットワークから14日間の期間にわたり80%のコンセンサスが必要となる。改訂は可決された。資金は失われなかった。ゼロ。
この修正は、rippled バージョン2.3.0以上に統合されている。
なぜガバナンス対応が重要なのか
技術的な修正は物語の一部にすぎない。ガバナンス対応がもう一つの部分だ。XRPLはハードフォークなしで、チェーン分裂なしで、そしてネットワーク停止の期間なしで、重大な脆弱性を解決した。XRPLに対する批判者が、時に「遅い」あるいは「過度に慎重」だと評してきた改訂プロセスが、実際に本質的に深刻なセキュリティ問題を、効率よく、ユーザーへの付随的被害(コラテラルダメージ)を伴わずに処理したのだ。
リップルの決済インフラを利用する機関投資家にとって、この結果は確かな重みを持つ。主要なLayer 1ネットワークが、悪用される前に、コードロジックのレベルでクリティカルな欠陥をパッチできること。そして秩序だったバリデータのコンセンサス手順を通じて、そうした対応を実現できることは、規模を持った機関導入へと議論が移行するときに重要になる運用実績の種類そのものだ。
より広いシグナル
この出来事は、人間のレビューでは見落とされたプロダクション向けブロックチェーン基盤の脆弱性を、生成型AI監査ツールが特定したという、より重要な初期事例の1つを示している。含意は、人間の監査人が不要だということではない。機械規模での形式手法と、人間の専門性の組み合わせが、どちらか一方だけが生み出すよりも、実質的に強いセキュリティ態勢を作るということだ。