- 広告 -* * * * * AI主導のセキュリティ監査ツールが、2026年2月にXRPレジャー内で重大な二重支払い(double-spend)の脆弱性を特定しました。これにより、単一のウォレットが触れられる前に、数億ドル規模のユーザー資産の損失を未然に防ぐことができた可能性があります。バグは実際に何をしたのか-------------------------この脆弱性は、**2つの特定のXRPL機能**の交差点にありました。部分支払い(Partial Payments)と、特定のエスクロー型スマートコントラクトのロジックです。それぞれ単体では問題ではありませんでしたが、特定の条件下で組み合わさることで、意図されたXRPの一部しか実際には動かないのに、支払いが完全に決済されたと台帳に記録させてしまう可能性のあるエクスプロイト経路が生まれていました。このようなエクスプロイトの現実的な標的になり得たのは、レジャー上で稼働する自動マーケットメイカー(AMM)や分散型取引所(DEX)です。これらは正確な決済ロジックに依存して正しく機能します。「部分的な価値しか届けていないのに、完全だと読める」取引は、会計が間違っていることに誰も気付く前に、AMMやDEXから流動性を吸い出してしまう種類の不一致そのものです。このバグは単純ではありませんでした。標準的な人間による監査プロセスではめったに表面化しない、エッジケース同士の相互作用をシミュレーションする必要がありました。だからこそ、AIセキュリティツールが見つけるまで未検出のままだったのです。発見され、どのように修正されたか----------------------------発見は、形式的検証(formal verification)手法を用いたAI監査ツールによるものだとされています。CertiKまたはImmunefiの領域で活動している企業によるものだと報じられています。形式的検証は、コードの振る舞いを、あり得る取引状態の数十億もの組み合わせにわたって数学的にモデル化することで行われます。人間の監査担当者がテストしようと思わないような、通常の利用パターンの外にある組み合わせも含まれます。その脆弱性は、そうした組み合わせの1つに存在していました。発見後、XRPL財団とRippleのエンジニアリングチームは、安全保障上の脆弱性が公表される前に、セキュリティ企業と協力してパッチを開発しました。その後、XRPLの標準的な改訂(amendment)ガバナンス手続きを通じて提出されました。この手続きでは、採用のためにバリデーターネットワークから14日間のうちに80%のコンセンサスが必要です。改訂案は可決されました。資金は失われませんでした。ゼロ。この修正は、rippledバージョン2.3.0以降に統合されています。 ### 暗号市場にはまだ1つ価格に織り込むべき触媒が残っており、それは日曜日に到来する なぜガバナンス対応が重要なのか-----------------------------------技術的な修正は物語の一部です。ガバナンス対応がもう一方です。XRPLはハードフォークなしで、チェーン分裂なしで、そしてネットワーク停止の期間なしで、重大な脆弱性を解決しました。XRPLの批判者が時に「遅い」または「過度に慎重」と表現してきた改訂プロセスが、本当に深刻なセキュリティ問題を効率的に、ユーザーへの巻き添え被害(コラテラルダメージ)なしで処理したのです。Rippleの決済インフラを利用する機関投資家にとって、この結果は確かな重みを持ちます。悪用の前に、コードロジックのレベルで重要な欠陥を修正し、秩序だったバリデーターのコンセンサス手順を通じてパッチを当てられる主要なLayer 1ネットワークであることは、会話が大規模な機関導入へと移る際に重要になる種類の運用実績です。より広いシグナル------------------この出来事は、生成AIの監査ツールが、人間のレビューでは見逃していたプロダクションのブロックチェーン基盤内の脆弱性を特定した、より重要な初期事例の1つを示しています。意味するのは、人間の監査担当者が不要だということではありません。機械規模での形式的検証と、人間の専門性が組み合わさることで、いずれか単独が生み出すよりも実質的に強いセキュリティ体制になるということです。
AIツールがハッカーが攻撃できる前に、重要なXRPレジャーのバグを検出
AI主導のセキュリティ監査ツールが、2026年2月にXRPレジャー内で重大な二重支払い(double-spend)の脆弱性を特定しました。これにより、単一のウォレットが触れられる前に、数億ドル規模のユーザー資産の損失を未然に防ぐことができた可能性があります。
バグは実際に何をしたのか
この脆弱性は、2つの特定のXRPL機能の交差点にありました。部分支払い(Partial Payments)と、特定のエスクロー型スマートコントラクトのロジックです。それぞれ単体では問題ではありませんでしたが、特定の条件下で組み合わさることで、意図されたXRPの一部しか実際には動かないのに、支払いが完全に決済されたと台帳に記録させてしまう可能性のあるエクスプロイト経路が生まれていました。
このようなエクスプロイトの現実的な標的になり得たのは、レジャー上で稼働する自動マーケットメイカー(AMM)や分散型取引所(DEX)です。これらは正確な決済ロジックに依存して正しく機能します。「部分的な価値しか届けていないのに、完全だと読める」取引は、会計が間違っていることに誰も気付く前に、AMMやDEXから流動性を吸い出してしまう種類の不一致そのものです。
このバグは単純ではありませんでした。標準的な人間による監査プロセスではめったに表面化しない、エッジケース同士の相互作用をシミュレーションする必要がありました。だからこそ、AIセキュリティツールが見つけるまで未検出のままだったのです。
発見され、どのように修正されたか
発見は、形式的検証(formal verification)手法を用いたAI監査ツールによるものだとされています。CertiKまたはImmunefiの領域で活動している企業によるものだと報じられています。形式的検証は、コードの振る舞いを、あり得る取引状態の数十億もの組み合わせにわたって数学的にモデル化することで行われます。人間の監査担当者がテストしようと思わないような、通常の利用パターンの外にある組み合わせも含まれます。その脆弱性は、そうした組み合わせの1つに存在していました。
発見後、XRPL財団とRippleのエンジニアリングチームは、安全保障上の脆弱性が公表される前に、セキュリティ企業と協力してパッチを開発しました。その後、XRPLの標準的な改訂(amendment)ガバナンス手続きを通じて提出されました。この手続きでは、採用のためにバリデーターネットワークから14日間のうちに80%のコンセンサスが必要です。改訂案は可決されました。資金は失われませんでした。ゼロ。
この修正は、rippledバージョン2.3.0以降に統合されています。
なぜガバナンス対応が重要なのか
技術的な修正は物語の一部です。ガバナンス対応がもう一方です。XRPLはハードフォークなしで、チェーン分裂なしで、そしてネットワーク停止の期間なしで、重大な脆弱性を解決しました。XRPLの批判者が時に「遅い」または「過度に慎重」と表現してきた改訂プロセスが、本当に深刻なセキュリティ問題を効率的に、ユーザーへの巻き添え被害(コラテラルダメージ)なしで処理したのです。
Rippleの決済インフラを利用する機関投資家にとって、この結果は確かな重みを持ちます。悪用の前に、コードロジックのレベルで重要な欠陥を修正し、秩序だったバリデーターのコンセンサス手順を通じてパッチを当てられる主要なLayer 1ネットワークであることは、会話が大規模な機関導入へと移る際に重要になる種類の運用実績です。
より広いシグナル
この出来事は、生成AIの監査ツールが、人間のレビューでは見逃していたプロダクションのブロックチェーン基盤内の脆弱性を特定した、より重要な初期事例の1つを示しています。意味するのは、人間の監査担当者が不要だということではありません。機械規模での形式的検証と、人間の専門性が組み合わさることで、いずれか単独が生み出すよりも実質的に強いセキュリティ体制になるということです。