Zespół XRP Ledger napotkał poważne problemy przy budowie wsparcia dla NFT. W efekcie deweloperzy wycofali swoje głosy zgody. Ripple zmuszone zostało podjąć prace naprawcze. Jak długo one potrwają?
Poważny błąd
Okazuje się, że w obrębie NFT na XRP Ledger pojawił się poważny błąd. W jego wyniku wybite w owej przestrzeni NFT, podatne są na atak złośliwego użytkownika. Efektem takiego ataku może być stworzenie przez napastnika niezliczonej ilości walut w obrębie konta emisyjnego i zwiększenie tym samym rezerw na koncie ofiary.
Naruszone zostały tutaj tak zwane Linie Zaufania, które są elementem struktury XRP Ledger. Egzekwują one zasadę, że nie można spowodować, aby ktokolwiek posiadał token, którego nie chce. Działanie linii w ekosystemie można wyjaśnić w prosty sposób. Otóż każdy twórca ma prawo nakazać uiszczenia opłaty za transfer swojego NFT. Z reguły odbywa się to w walucie, w której NFT zostało sprzedane. Aby było to możliwe niezbędne są Linie Zaufania, dla danego aktywa. Tymczasem luka powoduje, że mimo braku aktywacji takiej linii, może ona zostać automatycznie dodana.
W efekcie opłaty za transfer mogą zostać uiszczone w innej monecie, nie będącej przy tym XRP. Potencjalny zły aktor może tym sposobem sprzedać NFT między kilkoma kontami, za każdą walutę. Proces ten odbyłby się przy tym kosztem rezerw XRP.
Walidatorzy wstrzymują swoje głosy
Możliwości, jakie poprzez owy błąd otrzymuje potencjalny atakujący spowodowały, że deweloperzy i walidatorzy wstrzymali swoje głosy w zatwierdzeniu postępujących zmian. Powstało bowiem ryzyko, iż napastnik mógłby nawet emitować własne niepodparte żadną wartością waluty, dla nowo-uruchamianych Linii Zaufania.
Walidator Alloy Networks, z pośrednictwem Twittera poinformował:
„Zgłoszono późny etap możliwego exploita w związku z poprawką XLS20. W świetle tego, będziemy wetować poprawkę do czasu znalezienia poprawki. To rozczarowujące, tak, ale bezpieczeństwo zarówno emitentów, jak i kupujących jest najważniejsze. No i sieci oczywiście”.
Dalsze kroki
Z kolei WietseWind, również za pośrednictwem Twittera poinformował o planowanym przebiegu prac naprawczych. Najpierw u źródła poprawiony ma zostać kod. Później operatorzy będą zmuszeni dokonać aktualizacji, która uwzględni poprawkę. W dalszych krokach odbyć ma się ponowny test i kolejne głosowanie. Od jego efektów zależeć będzie, czy nowa wersja zostanie opublikowana.
Z kolei Combat Kanga pokusił się o wskazanie ram czasowych. W jego ocenie wdrożenie poprawki może zająć od miesiąca do nawet dwóch i pół. Zaznaczył przy tym, że pośpiech nie jest w tym wypadku sprzymierzeńcem.