Hariankripto – XRP Ledger baru saja lolos dari bencana besar. Sebuah bug kritis ditemukan di dalam proposal Batch amendment sebelum fitur itu aktif di mainnet. Jika celah ini lolos dan dieksploitasi, penyerang bisa mengeksekusi transaksi tanpa izin dari akun korban, bahkan tanpa membutuhkan private key.
Kabar baiknya, bug ini tertangkap pada 19 Februari 2026 . Tidak ada dana yang hilang. Namun CEO Cantina, Hari Mulackal, menyebut celah ini berpotensi menjadi “peretasan terbesar berdasarkan nilai dolar” dalam sejarah blockchain. Saat itu market cap XRP berada di kisaran $80 miliar.
Celah di Proses Validasi Tanda Tangan Memungkinkan Transaksi Tanpa Izin
Bug ini bersembunyi di dalam proses validasi tanda tangan untuk transaksi batch di Rippled versi 3.1.0. Ada kesalahan logika di dalam loop validasi yang menciptakan kondisi early-exit. Penyerang bisa memanfaatkan kondisi ini untuk melewati verifikasi yang seharusnya wajib.
Begini cara kerjanya dalam praktik. Penyerang membuat transaksi batch yang berisi operasi inner seperti pembayaran atau modifikasi akun. Operasi itu dikaitkan ke akun korban. Transaksi menggunakan entri signer palsu. Validasi yang cacat kemudian memeriksa akun yang tidak ada, langsung keluar lebih awal, dan melewatkan verifikasi yang benar. Operasi tanpa izin itu kemudian diproses seolah-olah sah.
Jika celah ini dieksploitasi setelah aktivasi, penyerang bisa menguras akun hingga sisa reserve balance. Mereka juga bisa mengubah state ledger melalui transaksi seperti AccountSet atau TrustSet. Bahkan berpotensi menghapus akun sepenuhnya.
AI Cantina Apex dan Security Engineer Pranamya Keshkamat Temukan Bug Lewat Analisis Statis
Bug ini ditemukan oleh security engineer Pranamya Keshkamat dari Cantina, firma keamanan yang fokus pada blockchain . Ia bekerja bersama tool audit berbasis AI bernama Apex. Penemuan terjadi saat analisis statis terhadap codebase Rippled.
Apex, yang disebut sebagai auditor keamanan AI otonom, menandai kesalahan logika itu. Keshkamat dan tim kemudian mengirimkan laporan responsible disclosure. Tim engineering Ripple memvalidasinya dengan cepat menggunakan proof-of-concept dan unit tests.
Hal Ini adalah contoh konkret di mana keamanan berbasis AI memberikan hasil nyata, bukan sekadar janji. Audit pihak ketiga memang selalu penting di dunia kripto. Namun, audit berbantuan AI membuktikan bisa menangkap hal-hal yang mungkin terlewat oleh reviewer manusia dalam code review rutin .
Respons Kilat dari Penemuan Sampai Patch Hanya Satu Minggu
Dari penemuan sampai pengungkapan publik, seluruh proses hanya memakan waktu satu minggu. Pada 19 Februari, hari yang sama saat Cantina melaporkan celah, validator UNL disarankan untuk memveto Batch amendment. Beberapa validator langsung menerapkan veto.
Pada 23 Februari, Ripple merilis patch darurat dengan Rippled versi 3.1.1 . Update ini menandai Batch amendment tidak mendukung lagi. Update juga memperkenalkan perbaikan sementara bernama fixBatchInnerSigs untuk memblokir aktivasi.
Pada 26 Februari, XRPL Labs mempublikasikan laporan pengungkapan kerentanan secara lengkap . Transparansi ini penting agar komunitas bisa belajar dan ekosistem lain bisa waspada terhadap pola serupa.
Batch amendment belum mati. Tim pengembangan XRPL sedang mengerjakan pengganti bernama BatchV1_1. Versi baru ini menghapus kondisi early-exit, menambahkan authorization guards, dan memperketat pemeriksaan tanda tangan secara menyeluruh. Belum ada tanggal rilis pasti karena kode masih dalam review.
Tim Developer XRP menyarankan validator segera upgrade ke Rippled 3.1.1. Pengguna biasa tidak perlu melakukan apa-apa karena celah ini tidak pernah aktif di mainnet. Namun tetap pantau kanal resmi XRPL untuk update BatchV1_1.
Insiden ini adalah near-miss yang harus membuat seluruh industri memperhatikan. Bug ada di kode yang sedang aktif divoting untuk aktivasi mainnet. Jika timing-nya berbeda beberapa hari saja, hasilnya bisa sangat berbeda. XRPL Labs mengakui insiden ini akan mendorong perbaikan berkelanjutan pada proses code review mereka. Untuk ekosistem yang menangani puluhan miliar dolar, itu bukan pilihan. Itu keharusan untuk bertahan.
