Uma ferramenta de inteligência artificial autônoma, Apex, da empresa Cantina, junto a um engenheiro de segurança, identificou uma falha crítica na lógica de validação de assinaturas do XRP Ledger (XRPL). A vulnerabilidade no amendment Batch (XLS-56), ainda em fase de votação, poderia permitir que atacantes executassem transações e esvaziassem carteiras sem possuir as chaves privadas dos usuários. A XRPL Foundation agiu rapidamente, liberando um patch de emergência antes da ativação na mainnet, preservando bilhões em valor de mercado.
O Que é o Batch Amendment?
O Batch Amendment, ou XLS-56, é uma proposta para otimizar o processamento de transações no XRPL. Ele permite agrupar múltiplas ‘transações internas’ (inner transactions) dentro de uma transação externa (outer batch). Para economizar poder computacional e melhorar a eficiência, as inner transactions são deixadas sem assinatura individual. Em vez disso, a autorização é delegada à lista de signers definida na transação batch externa.
Essa abordagem é semelhante a um sistema de multi-assinatura otimizado, onde o batch atua como envelope confiável. No XRPL, amendments como esse passam por uma fase de votação pelos validadores antes da ativação na mainnet, garantindo consenso comunitário. O Batch visava reduzir custos de transação e latência em cenários de alto volume, como pagamentos em massa ou DeFi.
No entanto, a implementação continha um erro sutil na lógica de verificação, expondo o ledger a riscos graves se ativado.
A Mecânica da Vulnerabilidade
A falha residia em um loop na validação de signers. O processo normal verifica se pelo menos um signer autorizado aprova a transação para cada inner transaction. Porém, se o sistema encontrasse um signer associado a uma conta que ainda não existia no ledger, e a chave de assinatura coincidisse com essa conta hipotética, o código declarava sucesso imediato e saía do loop prematuramente.
Isso bypassava verificações adicionais de validadores, permitindo que um atacante criasse uma sequência de transações em batch maliciosas. Imagine um cenário onde o atacante cria uma conta inexistente como signer falso, fazendo coincidir a chave com a de uma vítima. Transações como transferências de XRP ou deleções de contas poderiam ser executadas sem autenticação real, drenando fundos ou alterando o estado do ledger.
Analistas estimam que um exploit em escala poderia desestabilizar o ecossistema XRPL, com perdas potenciais próximas a US$ 80 bilhões em capitalização de mercado de XRP, além de erosão de confiança nos validadores.
Descoberta pela IA e Resposta da Fundação
A detecção veio de uma análise estática do código-fonte do rippled pela Apex, uma ‘bug hunter’ autônoma da Cantina, em colaboração com o pesquisador Pranamya Keshkamat. A ferramenta escaneou o código proposto, identificando a lógica falha antes da implantação. A XRPL Foundation divulgou o relatório em seu blog, confirmando o risco e creditando a divulgação responsável.
Validadores foram instruídos a votar contra o amendment. Em 23 de fevereiro, a versão rippled 3.1.1 foi lançada como patch de emergência, marcando explicitamente o Batch como não suportado. Um fix completo, removendo o early-exit loop e adicionando guards de autorização mais rígidos, está em revisão por pares. Nenhuma mainnet foi afetada, pois o amendment não ativou.
Por Que Auditoria Proativa com IA Importa?
Esse incidente destaca a superioridade da auditoria automatizada sobre revisões manuais puras. Ferramentas como Apex realizam static analysis exaustiva, cobrindo bilhões de caminhos de código que humanos podem ignorar. No blockchain, onde ‘código é lei’, falhas como essa podem custar bilhões e minar a descentralização.
Para o ecossistema XRPL, reforça a importância do processo de amendments: votação aberta previne ativações precipitadas. Investidores e usuários devem valorizar protocolos com auditorias contínuas e ferramentas AI, reduzindo riscos sistêmicos. O futuro da segurança em blockchains passa por IA proativa, protegendo capital antes que exploits ocorram.
💰 Comece a investir em criptomoedas: Abra sua conta gratuita na Binance e acesse um dos maiores ecossistemas cripto do mundo.
📢 Este artigo contém links de afiliados. Ao se cadastrar através desses links, você ajuda a manter o blog sem custo adicional para você.
⚠️ Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.
