La seguridad de XRPL reforzada después de que la falla de la enmienda por lotes de xrpl fuera bloqueada antes de la red principal

La Fundación XRPL ha detenido un problema grave relacionado con la enmienda por lotes de xrpl antes de que pudiera afectar la red principal, destacando la postura de seguridad en evolución del libro mayor.

Fallo crítico detectado durante la fase de votación

La Fundación XRPL divulgó que se identificó y neutralizó una vulnerabilidad crítica en la propuesta de enmienda por lotes antes de su activación en la red principal. El fallo surgió mientras el cambio aún estaba en su fase de votación de validadores, permitiendo a los desarrolladores responder antes de que tuviera impacto en producción.

El problema fue descubierto el 19 de febrero de 2026 por el ingeniero de seguridad Pranamya Keshkamat junto con la herramienta autónoma Apex de Cantina AI. Según la fundación, en ningún momento estuvieron en riesgo fondos de los usuarios porque la enmienda aún no había sido habilitada en la red principal de XRPL.

La enmienda, conocida formalmente como XLS-56, buscaba introducir transacciones agrupadas en el XRP Ledger. Permitía que múltiples transacciones internas se agruparan en un solo lote, mejorando la eficiencia y coordinación. Sin embargo, esas transacciones internas se dejaban intencionadamente sin firmar, delegando la autorización a una transacción de lote exterior que listaba a los firmantes.

Cómo funcionaba el error en la validación de firmas

Según el informe post-mortem de la fundación, la vulnerabilidad se encontraba en la lógica de validación de firmas de la función de lote. Además, el problema se centraba en un error en un bucle en la función de validación de firmantes utilizada para verificar las autorizaciones del lote.

Cuando el sistema encontraba una entrada de firmante vinculada a una cuenta que aún no existía en el libro mayor, podía salir del bucle prematuramente. Si la clave de firma coincidía con la nueva cuenta, el proceso de validación se marcaba incorrectamente como exitoso. Esto hacía que el software omitiera las verificaciones de todas las demás entradas de firmantes en el lote.

Este comportamiento abría un camino para transacciones no autorizadas. Un atacante podría ejecutar operaciones desde cuentas víctimas sin poseer sus claves privadas, ya que las verificaciones de claves para esas cuentas podrían ser eludidas. En el momento del descubrimiento, la enmienda solo estaba en la fase de votación de validadores y seguía deshabilitada en la red principal.

La Fundación XRPL enfatizó que la propuesta no había sido activada y reiteró: “La enmienda estaba en su fase de votación y no había sido activada en la red principal; ningún fondo estaba en riesgo.” Esta garantía fue crucial para limitar la preocupación del mercado y resaltar el beneficio de pruebas rigurosas antes de la activación.

Impacto potencial del error en la enmienda por lotes

El escenario de explotación reportado requería una transacción por lotes cuidadosamente diseñada. Un atacante construiría un lote que contenía tres operaciones internas, orquestadas para explotar la lógica defectuosa en la validación de firmantes.

Primero, una transacción interna crearía una nueva cuenta controlada completamente por el atacante. Segundo, otra transacción interna enviaría una transferencia simple o acción desde esa cuenta recién creada. Tercero, se incluiría un pago desde una cuenta víctima elegida a la cuenta del atacante, intentando mover fondos sin autorización legítima.

Para completar la configuración, el atacante proporcionaría dos entradas de firmantes en el lote. Una sería válida para la nueva cuenta controlada por el atacante. La segunda afirmaría falsamente autorizar transacciones para la cuenta víctima. Sin embargo, debido al error de salida temprana en el bucle, el sistema podría aceptar el primer firmante y nunca validar correctamente el segundo.

Como resultado, el pago de la víctima podría ejecutarse sin una firma válida, alterando el libro mayor de formas que la víctima no aprobó. La Fundación XRPL advirtió que el uso exitoso de esta técnica podría haber permitido transferencias arbitrarias de fondos y cambios disruptivos en el libro mayor si se hubiera desplegado a gran escala.

Además, la organización destacó el riesgo para la confianza del ecosistema en general si tal exploit hubiera llegado a la red principal. Hari Mulackal, CEO de Cantina y Spearbit, comentó: “Nuestro cazador de errores autónomo, Apex, encontró este fallo crítico.” Los equipos de ingeniería de Ripple reprodujeron el comportamiento con una prueba de concepto y completaron una prueba unitaria completa antes de abordar la falla.

Respuesta de emergencia y actualización rippled

Tras la divulgación, los validadores UNL de XRPL fueron rápidamente aconsejados a votar “No” en la propuesta de Batch. Esta coordinación aseguró que la enmienda no pudiera cruzar accidentalmente el umbral de activación mientras se realizaban las correcciones.

Se lanzó una versión de emergencia del software, rippled 3.1.1, el 23 de febrero de 2026. Esta versión marca explícitamente tanto la enmienda original de Batch como el cambio relacionado fixBatchInnerSigs como no soportados. En consecuencia, se bloquean para recibir votos de validadores y no pueden ser habilitados en ninguna red de producción.

La versión de emergencia no incluye la lógica final corregida. En cambio, funciona como una barrera protectora, asegurando que ni Batch ni fixBatchInnerSigs puedan activarse en su forma defectuosa. Sin embargo, esta protección inmediata brindó a los desarrolladores tiempo crucial para diseñar y revisar una solución más segura.

Una enmienda corregida llamada BatchV1_1 ha sido implementada como sucesora del diseño original. Esta actualización elimina la salida temprana en la validación de firmantes y refuerza las verificaciones en todos los caminos de autorización. La fundación confirmó que esta revisión aún está en revisión y no hay una fecha de despliegue programada.

Fortaleciendo las prácticas de seguridad en XRPL

Tras el incidente, la Fundación XRPL delineó medidas adicionales de seguridad para fortalecer los flujos de trabajo de desarrollo. Además, planea ampliar el rol de la IA en la revisión de cambios en el protocolo para detectar errores lógicos sutiles más temprano en el proceso.

La organización pretende aumentar el uso de auditorías de código asistidas por IA, basándose en el éxito de las herramientas de Cantina AI y el sistema Apex en este caso. También ampliará el análisis estático para detectar patrones como retornos prematuros de éxito dentro de bucles, que contribuyeron al fallo en la lógica de validación del lote.

Dicho esto, la fundación enfatizó que el episodio de la enmienda por lotes de xrpl demuestra la importancia de defensas en capas, incluyendo revisión humana, análisis autónomo y activación escalonada. Al combinar estos enfoques, los responsables buscan reducir el riesgo de vulnerabilidades no detectadas en futuras actualizaciones del protocolo.

En última instancia, la Fundación XRPL subrayó que el error crítico fue corregido antes de la activación en la red principal y antes de que se comprometieran fondos. La detección temprana, la respuesta coordinada de validadores y la rápida versión de emergencia rippled ayudaron a prevenir transacciones no autorizadas y a preservar la integridad de la red XRPL.