За последние месяцы сектор децентрализованных финансов понёс многомиллионные потери из-за атак с использованием флеш-кредитов. По данным Chainalysis, только убытки от взломов кроссчейн-мостов с 2021 года превысили $2,8 млрд. Свежие инциденты подтверждают масштаб проблемы: 15 мая протокол Thorchain потерял около $10,8 млн в результате кроссчейн-атаки, затронувшей Bitcoin, Ethereum, BSC и Base. За апрель Drift Protocol и KelpDAO вместе лишились более $600 млн. Общим звеном большинства таких эксплойтов стал один и тот же инструмент — флеш-кредит.
Флеш-кредит — это особенность смарт-контрактов, позволяющая занять крупную сумму без залога при условии возврата средств в рамках одной транзакции. Злоумышленники используют этот механизм для манипуляций оракулами или осушения ликвидности: заём берётся, средства направляются на атаку, прибыль фиксируется, а кредит погашается до завершения блока. Если какая-либо операция проваливается, вся цепочка откатывается, поэтому атакующий рискует только газовыми сборами. Для реализации такой схемы требуется совершить несколько вложенных вызовов внутри одного транзакционного конверта — именно эту возможность исключает архитектура XRP Ledger.
Проект поправки AMM Swappable Curves, внесённый 26 мая 2026 года разработчиками Денисом Анжеллом и Романом Тптом в репозиторий стандартов XRPL, содержит примечательную строку в разделе «Безопасность»: «Атаки с флеш-кредитами структурно невозможны. Транзакции XRPL атомарны и не поддерживают компонуемые внутритранзакционные вызовы». Это означает, что на XRP Ledger транзакция либо выполняется полностью, либо не выполняется совсем, но в отличие от Ethereum, она не может обращаться к другим контрактам в процессе исполнения. Последовательность «занять — манипулировать — вернуть» разрывается, потому что каждая операция изолирована.
За архитектурную безопасность приходится платить функциональностью. В Ethereum флеш-кредиты стали неотъемлемой частью экосистемы: они используются для арбитража, мгновенных ликвидаций и замены залогов без высвобождения капитала. XRP Ledger сознательно отказывается от этих инструментов, полностью закрывая класс атак. До недавнего времени этот компромисс не имел большого значения из-за скромных масштабов DeFi на XRPL, но ситуация меняется.
Объём токенизированных реальных активов на XRP Ledger превысил $3 млрд. Месяц назад пилотный проект с участием Ripple, JPMorgan, Mastercard и Ondo Finance обработал погашение токенизированных казначейских облигаций США менее чем за пять секунд. Кроме того, сеть активно расширяет кредитные возможности: готовятся протокол XLS-66 для срочных и необеспеченных займов с оффчейн-оценкой кредитоспособности и XLS-65 с одноактивными хранилищами для поставщиков ликвидности. Проведённая в конце 2025 года программа Bug Bounty на $200 000 не выявила уязвимостей, связанных с флеш-кредитами или манипуляциями оракулами, а 27 мая активирована поправка fixCleanup3_1_3, исправляющая бухгалтерские ошибки в кредитном протоколе и NFT-предложениях.
Ставка на структурную устойчивость к эксплойтам может стать конкурентным преимуществом XRP Ledger по мере созревания его DeFi-инфраструктуры. Однако открытым остаётся вопрос, перевесит ли встроенная безопасность фактор уже сложившейся ликвидности в глазах институциональных инвесторов.
