Ripple 首席技术官 David Schwartz 最近透露了 250 亿 XRP 交易尝试，该交易试图通过利用 XRP Ledger (XRPL) 部分支付功能来利用 Bitfinex。

The 加密货币Basic 昨天披露，鲸鱼追踪服务的领导者 Whale Alert 错误地发出了 250 亿 XRP 交易的警报，给人一种交易成功的错误印象。

不出所料，这一披露引起了人们的注意，因为据称该交易转移了 XRP 总流通供应量的近一半。 这将标志着历史上最大的单笔 XRP 交易。

然而，人们发现交易并不成功，而是鲸鱼追踪资源在读取XRPL数据时遇到了错误。 此外，Bitfinex 首席技术官 Paolo Ardoino 指出，该交易是对 Bitfinex 的一次利用尝试。

值得注意的是，攻击者利用了 XRPL 的部分支付功能，该功能允许发送者在“金额”字段中指定特定金额，但发送的金额要小得多。

该漏洞利用失败是因为 Bitfinex 通过关注“交付金额”而不是“金额”来正确处理部分付款。

Ripple 首席技术官澄清误会

尽管如此，在专注于加密货币的媒体 CoinDesk 的一份报告中，标题表明 250 亿 XRP 事实上确实“移动”。 David Schwartz 对此发表评论，强调“数十亿 XRP”的说法具有误导性。

“转移了数十亿 XRP”的说法具有误导性，实际转移金额仅值几美分。 感谢 @Bitfinex 和 @paoloardoino 用于有效地消除攻击尝试。

这里发生的事情并不是 XRP Ledger 的缺陷或漏洞。 部分… https://t.co/qucpX7yJ7B

— 大卫·“乔尔卡茨”·施瓦茨 (@JoelKatz) 2024 年 1 月 16 日

施瓦茨表示，交易的实际金额以美分为单位，而不是数十亿。 他对 Bitfinex 和 Arduino 挫败了黑客企图表示赞赏，但他确认这种情况并不是由于 XRPL 漏洞或缺陷造成的。

Schwartz 强调，部分支付标志是 XRPL 上的一项安全功能，而不是一个错误。 值得注意的是，当发件人希望退回发送到其地址的任何不需要的付款而不给自己带来任何费用时，该功能非常有用。

然而，一些恶意行为者可能会寻求利用该功能并利用机构在处理部分付款方面的错误配置。

Ripple 首席技术官强调，对 Bitfinex 的攻击并未成功，因为该交易所正确处理了部分支付。

“今天的挫败是对所有机构和应用程序的强烈提醒——正确配置和集成的重要性不可低估，”David Schwartz 补充道，并分享了继续教育部分付款文件的链接。

部分付款漏洞是如何运作的？

对于外行来说，攻击者通过在向机构交易的“金额”字段中指定大量金额来部署部分付款漏洞。

然而，他们发送的数量要少得多。 虽然交易成功并在“金额”中显示大量资金，但它实际上只交付了指定金额的一小部分。

如果机构的系统专注于“金额”并忽略“已交付金额”字段或部分付款标志，则该公司可以将其在“金额”字段中注意到的全部资金记入攻击者的贷方，而不知道所交付的金额是事实上要小得多。

XRPL 文档 还警告恶意行为者也可以利用该功能诈骗商家。 他们通过发送比“金额”字段中指定的金额少得多的金额来实现此目的。

如果商家只关注这个金额，不知道部分付款标志，他可以放货或执行付款服务，而不知道交付到接收地址的实际金额要小得多。