XRPLのコンセンサスメカニズムには致命的な欠陥があり、攻撃者は検証ネットワークを麻痺させることができましたが、修正されました

セキュリティ調査会社Common Prefixは、以前にRippleチームに対して、XRP Ledger（XRPL）の深刻なセキュリティ脆弱性2件を報告しました。これらの脆弱性は、検証ノードが取引集合のコンセンサスメカニズムを処理する際に関係しており、唯一のノードリスト（UNL）内の検証ノードが侵害された場合、攻撃者は悪意のあるメッセージを送信し、検証ノードの連鎖的なクラッシュを引き起こす可能性があります。これらの修正は、rippled 3.0.0バージョンに統合されています。

脆弱性の核心リスク：1つの侵害された検証ノードがネットワーク全体に影響を及ぼす可能性

XRPLのコンセンサスメカニズムは、検証ノード間で一連の取引について合意を形成することを要求します。各ノードは未処理の取引を提出し、メッセージ交換を通じて最終的な合意された取引集合を構築します。これら2つの脆弱性の根本原因は、rippledのコードが「議論中の取引」（異なる検証ノードの取引集合間で差異のある取引）を処理するロジックに欠陥があることにあります。

攻撃の前提条件は、UNL内の約35の検証ノードのうちの1つに侵入することです。通常、UNLの検証ノードはプロキシノードの背後に隠され、プロキシノードとだけ通信しているため、侵入の難易度は高いですが、Common Prefixの研究者Nikolaos Kamarinakisは、これが不可能ではないと指摘しています。侵入に成功すれば、攻撃者は改変版のrippledツールを展開し、他の検証ノードに対して悪意のあるメッセージを継続的に送信し、侵害されたノードがUNLから除外されるまで攻撃を続けることが可能です。

2つの脆弱性の技術的メカニズムと修正策

脆弱性1 — 取引の比較（Comparing Transactions）：侵害された検証ノードが、実際には存在しないノード上にある取引がSHAMapに存在すると主張し、他の検証ノードが無効なノードIDを使って取引IDを検索しようとすると即座にクラッシュします。

修正1：検証ステップを追加し、提案されたノードに実際に取引が存在するかどうかを確認。無効なIDによるクラッシュの経路を遮断します。

脆弱性2 — 中継取引（Relaying Transactions）：侵害された検証ノードが任意のハッシュ値を含む悪意のある取引集合を送信し、他のノードはこれを議論中の取引と識別し、転送を試みます。これにより、「偽の取引検査」中に無効なデータによるクラッシュが発生します。

修正2：try-catch例外処理を追加し、悪意のあるデータによる例外を捕捉。クラッシュの拡散を防止します。

Rippleのエンジニアリングチームは、独立した概念検証プログラムを用いて、隔離されたテストネット上でこれら2つの脆弱性を再現し、修正適用後は悪意のあるメッセージを受信したノードがクラッシュしなくなることを確認しました。

修正の確認とXRPLのセキュリティ強化ロードマップ

これら2つの脆弱性の修正は、rippled 3.0.0に統合されており、Rippleはテスト環境において、修正後のノードが同じ攻撃ベクトルに対しても安定して動作することを確認しています。

Rippleは今後のXRPLセキュリティ強化のロードマップも正式に発表しました。これには、未公開のコードの問題を早期に発見するためのセキュリティ監査範囲の拡大、AI支援によるコードレビューの導入による潜在的なセキュリティ脆弱性の体系的な識別、セキュリティハッカソンの開催、そして外部のセキュリティ研究者による積極的な通報を促すための脆弱性バウンティの引き上げが含まれます。

Rippleは、Common Prefixに対して正式に感謝の意を表明し、責任を持って脆弱性を公開し、修復期間中に十分な技術的協力を提供したことを認めています。

よくある質問

Q1：XRPLのこの2つの脆弱性に対する実際の攻撃の難易度はどの程度ですか？
攻撃には、まずUNL内の約35の検証ノードのいずれかに侵入する必要があります。UNLの検証ノードは通常、プロキシノードの背後に隠され、プロキシとだけ通信しているため、攻撃面は限定的です。しかし、セキュリティ研究者はこれが不可能ではないと指摘しており、公開前に修正を完了させることが重要です。

Q2：XRPLのノード運営者はどのような対策を取るべきですか？
すべてのrippled 2.6.2以前のバージョンを運用しているノード運営者は、できるだけ早くrippled 3.0.0にアップグレードし、これら2つの脆弱性に対する完全な防御を確保すべきです。アップグレード前のバージョンは、侵入されたUNL検証ノードに対して連鎖的なクラッシュのリスクがあります。

Q3：今回の脆弱性事件は、XRPLの長期的なセキュリティにどのような意味を持ちますか？
この事件は、責任あるセキュリティ公開の標準的なプロセスを示しています。Common Prefixは2025年6月に非公開で報告し、Rippleはrippled 3.0.0の修正後に2026年3月に公開しました。Rippleは、AI支援のコードレビューや脆弱性バウンティの引き上げを含むセキュリティ強化のロードマップも同時に発表しており、積極的なセキュリティ構築への継続的な取り組みを示しています。