XRP Ledger阻斷閃電貸攻擊，DeFi損失突破6億美元

一份XRP Ledger的草案修正案正式證實了開發者長期以來的論點：其交易架構從根本上使閃電貸攻擊無法實現。

由開發者Denis Angell與Roman Thpt於5月26日提交的帳本自動做市商升級提案，在其安全考量章節中直接寫道：「閃電貸攻擊在結構上是不可能的。XRPL交易具有原子性，且不具備可組合的內部交易調用。」

這項區別至關重要，因為DeFi因閃電貸攻擊造成的損失仍在持續攀升。5月15日，Thorchain在一場跨鏈攻擊中損失約1,080萬美元，資金橫跨比特幣、以太坊、BNB Smart Chain與Base網路。根據提案中引用的數據，Drift Protocol與KelpDAO在截至4月的期間內，合計損失超過6億美元。Chainalysis數據顯示，自2021年以來，跨鏈橋已因攻擊損失超過28億美元。

閃電貸允許交易者在無需抵押的情況下借入大額資金，前提是資金必須在同一筆交易內歸還。攻擊者藉由操控價格預言機或抽乾流動性池來武器化此機制，然後在交易結算前償還貸款。這種攻擊模式需要在一個交易封包內鏈式串聯多個操作——以太坊虛擬機透過可組合的智能合約允許這種結構，但XRPL從設計上就予以封鎖。

為何XRPL的架構封死了攻擊路徑

XRPL將每筆交易作為單一、自含的操作來處理。不存在內部交易調用，意味著一筆交易在執行過程中無法調用另一個合約。構成閃電貸攻擊的「借入—操縱—償還」鏈條在這種模型中根本無法存在。

然而，這項取捨的代價是閃電貸亦承擔合法的功能。以太坊與Solana上的套利交易者、清算機器人及抵押品互換均依賴其資本效率。Aave與dYdX等協議已圍繞此機制建立產品。XRPL選擇完全放棄這些使用場景，以徹底消除此類攻擊手法。

2025年10月至11月期間，一項針對預言機操縱與閃電貸漏洞、獎金高達20萬美元的漏洞賞金計劃啟動。提案指出，研究人員並未發現任何可利用的漏洞。5月27日，fixCleanup3_1_3修正案正式上線，修正了借貸協議及其他DeFi功能中的會計錯誤。

XRPL上的機構活動加速升溫

XRP Ledger上的代幣化實體資產總值已突破30億美元。據項目團隊表示，由Ripple、JPMorgan、Mastercard與Ondo Finance參與的一項試點計劃，上月於五秒內完成了一筆代幣化美國國債贖回。

該網路同時正在開發XLS-66借貸協議，該協議將引入固定期限及無抵押貸款，採用鏈下信用評估搭配鏈上流動性池的模式；以及XLS-65單一資產金庫，允許流動性提供者存入單一資產資金池，無需進行雙幣質押。

對機構投資者而言，這種比較並非簡單明瞭。以太坊擁有更深的流動性、更成熟的DeFi基礎設施以及更龐大的開發者社群。XRPL的訴求則建立在一個可證明的架構優勢上：某些攻擊類別是在交易層面被消除，而非透過協議層的風險設定來管理。這項取捨能否吸引可觀的資金流入，將取決於隨著其DeFi基礎設施日趨成熟，有多少流動性會遷移至該帳本。

本文僅供資訊參考，不構成投資建議。