Ripple首席技術官David Schwartz最近揭示了250億XRP交易的嘗試，該交易試圖通過利用XRP Ledger（XRPL）部分支付功能來利用Bitfinex。

Crypto Basic昨天披露，鯨魚追蹤服務的領導者Whale Alert錯誤地發(fā)出了250億XRP交易的警報，給人一種交易成功的錯誤印象。

不出所料，這一披露引起了人們的注意，因為據(jù)稱這筆交易轉(zhuǎn)移了XRP近一半的總流通供應量。這將標志著歷史上最大的XRP交易。

然而，我們發(fā)現(xiàn)事務沒有成功，但鯨魚跟蹤資源在讀取XRPL數(shù)據(jù)時遇到了錯誤。此外，Bitfinex首席技術官Paolo Ardoino指出，該交易是對Bitfinex的一次利用企圖。

值得注意的是，攻擊者利用了XRPL的部分支付功能，該功能允許發(fā)件人在“金額”字段中指定特定金額，但發(fā)送的金額要小得多。

該漏洞攻擊失敗，因為Bitfinex通過關注“已交付金額”而不是“金額”來正確處理部分付款

Ripple CTO凈化空氣

盡管如此，在專注于加密貨幣的媒體CoinDesk的一篇報道中，標題表明250億XRP實際上“移動了”。David Schwartz對此發(fā)表了評論，強調(diào)說“數(shù)十億XRP”移動是誤導性的。

“數(shù)十億XRP轉(zhuǎn)移”的說法具有誤導性，實際轉(zhuǎn)移金額僅值幾美分。感謝@Bitfinex和@paoloardino有效地消除了一次利用漏洞的企圖。這里發(fā)生的不是XRP Ledger的缺陷或漏洞。部分…h(huán)ttps://t.co/qucpX7yJ7B——大衛(wèi)·“喬爾卡茨”·施瓦茨（@JoelKatz）2024年1月16日

根據(jù)施瓦茨的說法，交易的實際金額是以美分為單位，而不是數(shù)十億美元。他欽佩Bitfinex和Arduino挫敗了黑客攻擊，但證實這種情況不是由于XRPL漏洞或缺陷造成的。

Schwartz強調(diào)，部分支付標志是XRPL上的一個安全功能，而不是一個bug。值得注意的是，當發(fā)件人希望在不產(chǎn)生任何費用的情況下將任何不需要的付款退還給他的地址時，該功能非常有用。

然而，一些惡意行為者可能會試圖利用該功能，利用機構(gòu)在處理部分付款方面的錯誤配置。

Ripple首席技術官強調(diào)，對Bitfinex的攻擊沒有成功，因為交易所正確處理了部分付款。

David Schwartz補充道：“今天的挫敗有力地提醒了所有機構(gòu)和應用程序——正確配置和整合的重要性不容低估?！彼窒砹死^續(xù)教育部分付款文件的鏈接。

部分支付漏洞是如何運作的？

對于外行來說，攻擊者通過在機構(gòu)交易的“金額”字段中指定大量金額來部署部分支付漏洞。

然而，他們發(fā)送的數(shù)量要少得多。雖然交易是成功的，并且在“金額”中顯示了大量資金，但它實際上只提供了指定金額的一小部分。

如果該機構(gòu)的系統(tǒng)專注于“金額”，而忽略了“已交付金額”字段或部分支付標志，則該公司可以將其在“金額”字段上注意到的全部資金貸記給攻擊者，而不知道實際交付的金額要小得多。

XRPL文件還警告說，惡意行為者也可以利用該功能詐騙商家。他們通過發(fā)送比“金額”字段中指定的金額小得多的金額來實現(xiàn)這一點。

如果商家在不知道“部分付款”標志的情況下專注于此金額，他可以在不知道交付到收貨地址的實際金額要小得多的情況下放行貨物或提供付款服務。