Ripple首席技術(shù)官David Schwartz最近揭示了250億XRP交易的嘗試，該交易試圖通過利用XRP Ledger（XRPL）部分支付功能來利用Bitfinex。

Crypto Basic昨天披露，鯨魚追蹤服務(wù)的領(lǐng)導(dǎo)者Whale Alert錯誤地發(fā)出了250億XRP交易的警報，給人一種交易成功的錯誤印象。

不出所料，這一披露引起了人們的注意，因?yàn)閾?jù)稱這筆交易轉(zhuǎn)移了XRP近一半的總流通供應(yīng)量。這將標(biāo)志著歷史上最大的XRP交易。

然而，我們發(fā)現(xiàn)事務(wù)沒有成功，但鯨魚跟蹤資源在讀取XRPL數(shù)據(jù)時遇到了錯誤。此外，Bitfinex首席技術(shù)官Paolo Ardoino指出，該交易是對Bitfinex的一次利用企圖。

值得注意的是，攻擊者利用了XRPL的部分支付功能，該功能允許發(fā)件人在“金額”字段中指定特定金額，但發(fā)送的金額要小得多。

該漏洞攻擊失敗，因?yàn)锽itfinex通過關(guān)注“已交付金額”而不是“金額”來正確處理部分付款

Ripple CTO凈化空氣

盡管如此，在專注于加密貨幣的媒體CoinDesk的一篇報道中，標(biāo)題表明250億XRP實(shí)際上“移動了”。David Schwartz對此發(fā)表了評論，強(qiáng)調(diào)說“數(shù)十億XRP”移動是誤導(dǎo)性的。

“數(shù)十億XRP轉(zhuǎn)移”的說法具有誤導(dǎo)性，實(shí)際轉(zhuǎn)移金額僅值幾美分。感謝@Bitfinex和@paoloardino有效地消除了一次利用漏洞的企圖。這里發(fā)生的不是XRP Ledger的缺陷或漏洞。部分…h(huán)ttps://t.co/qucpX7yJ7B——大衛(wèi)·“喬爾卡茨”·施瓦茨（@JoelKatz）2024年1月16日

根據(jù)施瓦茨的說法，交易的實(shí)際金額是以美分為單位，而不是數(shù)十億美元。他欽佩Bitfinex和Arduino挫敗了黑客攻擊，但證實(shí)這種情況不是由于XRPL漏洞或缺陷造成的。

Schwartz強(qiáng)調(diào)，部分支付標(biāo)志是XRPL上的一個安全功能，而不是一個bug。值得注意的是，當(dāng)發(fā)件人希望在不產(chǎn)生任何費(fèi)用的情況下將任何不需要的付款退還給他的地址時，該功能非常有用。

然而，一些惡意行為者可能會試圖利用該功能，利用機(jī)構(gòu)在處理部分付款方面的錯誤配置。

Ripple首席技術(shù)官強(qiáng)調(diào)，對Bitfinex的攻擊沒有成功，因?yàn)榻灰姿_處理了部分付款。

David Schwartz補(bǔ)充道：“今天的挫敗有力地提醒了所有機(jī)構(gòu)和應(yīng)用程序——正確配置和整合的重要性不容低估?！彼窒砹死^續(xù)教育部分付款文件的鏈接。

部分支付漏洞是如何運(yùn)作的？

對于外行來說，攻擊者通過在機(jī)構(gòu)交易的“金額”字段中指定大量金額來部署部分支付漏洞。

然而，他們發(fā)送的數(shù)量要少得多。雖然交易是成功的，并且在“金額”中顯示了大量資金，但它實(shí)際上只提供了指定金額的一小部分。

如果該機(jī)構(gòu)的系統(tǒng)專注于“金額”，而忽略了“已交付金額”字段或部分支付標(biāo)志，則該公司可以將其在“金額”字段上注意到的全部資金貸記給攻擊者，而不知道實(shí)際交付的金額要小得多。

XRPL文件還警告說，惡意行為者也可以利用該功能詐騙商家。他們通過發(fā)送比“金額”字段中指定的金額小得多的金額來實(shí)現(xiàn)這一點(diǎn)。

如果商家在不知道“部分付款”標(biāo)志的情況下專注于此金額，他可以在不知道交付到收貨地址的實(shí)際金額要小得多的情況下放行貨物或提供付款服務(wù)。