Ripple e Immunefi lanciano una caccia ai bug da 200.000$ per il nuovo protocollo di prestito istituzionale XRPL

La società fintech Ripple sta collaborando con la piattaforma di sicurezza Immunefi per un prossimo evento denominato “Attackathon”, ideato per sottoporre a rigorosi test un nuovo protocollo di finanza decentralizzata sulla XRPL.

L'evento offrirà 200.000 $ in premi ai partecipanti che contribuiranno a identificare le vulnerabilità del proposto Protocollo di Prestito XRPL, un nuovo sistema progettato per introdurre prestiti a termine fisso e non garantiti nel registro XRP.

Attackathon, che si svolge dal 27 ottobre al 29 novembre, inviterà hacker white-hat e ricercatori di sicurezza a esaminare il codice sorgente e segnalare vulnerabilità prima che il protocollo venga lanciato.

Ripple offrirà un supporto educativo completo tramite un'“Attackathon Academy”, inclusi walkthrough e ambienti Devnet, per aiutare i ricercatori a familiarizzare con l'architettura di XRPL. La fase di apprendimento si svolge dal 13 ottobre al 27 ottobre. Successivamente, la competizione di bug hunting inizierà il 27 ottobre e proseguirà fino a novembre, offrendo ai ricercatori ampio tempo per esaminare a fondo il protocollo.

Se viene trovato un exploit valido, l'intero pool di ricompense sarà sbloccato. In caso contrario, 30.000 $ saranno distribuiti ai partecipanti che forniscono risultati significativi.

Il Protocollo di Prestito XRPL, regolato sotto XLS-66, segue un percorso diverso rispetto ai modelli DeFi tradizionali. Non ci sono smart contract, asset wrapped o garanzie on-chain. Invece, la valutazione della solvibilità avviene off-chain, permettendo così alle istituzioni finanziarie di applicare i propri modelli di rischio, mentre i fondi e i rimborsi vengono registrati direttamente sul ledger.

Si tratta di un approccio che Ripple propone come un ponte tra i mercati creditizi tradizionali e la finanza on-chain, offrendo trasparenza mantenendo intatti i limiti normativi. Le istituzioni che necessitano di strutture garantite possono ancora gestirle tramite custodi autorizzati o accordi tri-partiti, con il protocollo che funge da livello di esecuzione.

I ricercatori si concentreranno sulle vulnerabilità che potrebbero minacciare la sicurezza dei fondi o la solvibilità del protocollo. Gli obiettivi inclusi nell'ambito sono la logica dei depositi, i calcoli di liquidazione e interessi, e i controlli di accesso con permessi. I bug devono essere riproducibili e accompagnati da proof-of-concept funzionanti per qualificarsi.

L'Attackathon copre diversi standard collegati, tra cui XLS-65 (vault a singolo asset), XLS-33 (token multiuso), XLS-70 (credenziali) e XLS-80 (domini permessi).