XRP Ledgerがフラッシュローン攻撃をブロック、DeFiの損失が6億ドルを超える

XRP Ledgerへのドラフト修正案により、開発者らが長年主張してきたこと、すなわちそのトランザクションアーキテクチャがフラッシュローン攻撃を構造的に不可能にしていることが正式に確認された。

5月26日に開発者のDenis Angell氏とRoman Thpt氏によって提出された、台帳の自動マーケットメーカーへのアップグレード提案には、セキュリティ考慮事項セクションに直接的な記述が含まれている。「フラッシュローン攻撃は構造的に不可能です。XRPLのトランザクションはアトミックであり、構成可能なトランザクション内呼び出しはありません。」

この違いが重要となるのは、フラッシュローン悪用によるDeFiの損失が増加し続けているためである。Thorchainは5月15日、クロスチェーン攻撃により約1,080万ドルの損失を被り、ビットコイン、イーサリアム、BSC、Baseにまたがる資金が流出した。提案で引用されたデータによると、Drift ProtocolとKelpDAOは4月までの間に合計で6億ドル以上の損失を計上した。Chainalysisのデータによれば、クロスチェーンブリッジは2021年以来、攻撃により28億ドル以上の損失を出している。

フラッシュローンは、トレーダーが担保なしで多額の資金を借り入れ、同じトランザクション内で資金を返却することを可能にする。攻撃者は、価格オラクルを操作したり、流動性プールを枯渇させたりした後、トランザクションが確定する前にローンを返済することで、このメカニズムを悪用する。このパターンでは、1つのトランザクションエンベロープ内で複数の操作を連鎖させる必要がある。これはイーサリアムの仮想マシンが構成可能なスマートコントラクトを通じて許可する構造だが、XRPLは設計上これをブロックする。

なぜXRPLのアーキテクチャが攻撃経路を閉ざすのか

XRPLは各トランザクションを単一の自己完結型の操作として処理する。トランザクション内呼び出しは存在せず、あるトランザクションが実行中に別のコントラクトを呼び出すことはできない。フラッシュローン悪用を定義する、借入-操作-返済の連鎖は、そのモデル内では成立し得ない。

そのトレードオフとして、フラッシュローンは正当な機能も果たしている。イーサリアムやSolana上のアービトラージトレーダー、清算ボット、担保スワップは、資本効率のためにこれらに依存している。AaveやdYdXなどのプロトコルは、このメカニズムを中心に製品を構築してきた。XRPLはこれらのユースケースを完全に放棄することで、この悪用クラスを排除している。

2025年10月から11月にかけて、オラクル操作とフラッシュローン脆弱性を対象とした20万ドルのバグ報奨金プログラムが実施された。提案によれば、研究者は悪用可能な脆弱性を発見しなかった。5月27日には、fixCleanup3_1_3修正案が有効になり、レンディングプロトコルやその他のDeFi機能における会計エラーが修正された。

XRPL上で機関投資家の活動が加速

XRP Ledger上のトークン化された実世界資産は、総価値が30億ドルを超えた。先月、Ripple、JPMorgan、Mastercard、Ondo Financeが関与するパイロットでは、トークン化された米国債の償還が5秒未満で処理されたと、プロジェクトチームは発表している。

ネットワークはまた、XLS-66レンディングプロトコルを開発中であり、これはオフチェーンの信用評価とオンチェーンの流動性プールを組み合わせた、固定期間および無担保ローンの導入を予定している。さらにXLS-65シングルアセットボールトは、流動性提供者がデュアルトークン預金なしでプールされた資金を拠出することを可能にする。

機関投資家にとって、両者の比較は単純ではない。イーサリアムはより深い流動性、より成熟したDeFiインフラ、そしてより大規模な開発者ベースを有している。XRPLの売りは、証明可能なアーキテクチャ上の優位性、すなわち特定の悪用クラスがプロトコルレベルのリスク設定を通じて管理されるのではなく、トランザクション層で排除されるという点にある。そのトレードオフが有意義な資本を惹きつけるかどうかは、DeFiインフラの成熟に伴い、どれだけの流動性がこの台帳に移行するかにかかっている。

この記事は情報提供のみを目的としており、投資助言を構成するものではありません。