过去两个月内，去中心化金融领域遭遇的两起重大攻击事件暴露了行业共同的脆弱性：攻击者均利用了 XRP 账本（XRPL）上并不存在的工具。5 月 15 日，跨链协议 Thorchain 因遭受跨链攻击损失约 1080 万美元，该事件波及 Bitcoin、Ethereum、BSC 和 Base 等多个区块链平台。

与此同时，基于 Solana 的去中心化永续交易所 Drift Protocol 以及运行在 Ethereum 上的 KelpDAO，仅在 4 月份就造成了超过 6 亿美元的巨额损失。Chainalysis 数据显示，自 2021 年以来，跨链桥接技术因各类攻击累计损失已超过 28 亿美元。午方 AI 梳理发现，这些攻击事件中很大一部分都利用了同一机制：闪贷。闪贷作为一种智能合约功能，允许交易者在无需提供任何抵押品的情况下借入数百万美元，前提是必须在同一笔交易中完成偿还。虽然闪贷在合法场景下可用于跨交易所套利、抵押品交换及维持清算机器人偿付能力，但攻击者常滥用此机制，通过借款操纵系统或窃取资金池获利，随后在交易结束前偿还贷款。由于整个流程若任一环节出错即告失败，攻击者最多仅需承担少量网络手续费。

XRP 账本从架构层面并不支持此类攻击方式。本周早些时候，有人在 XRPL 标准仓库提交了一份修订草案，建议为该链路的原生自动做市商系统引入集中式流动性机制及类似 StableSwap 的资金池模型。该草案在“安全考量”部分明确指出：“闪贷攻击在技术上是不可行的。”其核心逻辑在于 XRPL 的交易具有原子性，不允许在交易过程中调用其他合约。

这意味着 XRPL 的交易要么完全成功，要么完全失败，这一点与 Ethereum 的交易规则相似。

然而，关键区别在于 XRPL 的交易在执行过程中无法调用其他合约，而闪贷攻击所依赖的“借款 - 操纵 - 偿还”操作序列，至少需要在三笔嵌套的交易中才能完成。午方 AI 注意到，这种设计选择虽然带来了安全性，但也意味着 XRPL 主动放弃了闪贷这一功能，尽管该功能已成为 Ethereum 去中心化金融生态的重要组成部分。

在 Ethereum 生态中，Aave 和 dYdX 等知名协议将闪贷作为核心功能提供给用户。套利交易者利用闪贷在短时间内消除不同交易所之间的价格差异；清算机器人利用闪贷确保被过度抵押的借贷头寸保持偿付能力；经验丰富的去中心化金融用户则利用闪贷进行抵押品交换，从而避免筹集资金的时间成本。

然而，XRP 为了彻底杜绝此类攻击行为，选择了放弃这些功能。在 XRPL 发展的早期阶段，这种权衡并不重要，因为当时该链路的去中心化金融生态规模尚小。但现状正在发生根本性变化：目前 XRP 账本上的代币化真实资产总价值已突破 30 亿美元。其中包括上个月 Ripple 与 JPMorgan、Mastercard 以及 Ondo Finance 合作开展的试点项目，该项目在不到 5 秒的时间内完成了美国国债的代币化赎回交易。

如果这份修订草案获得通过，它将有效弥补 XRPL 去中心化金融生态在资本效率方面相对于 Ethereum 的劣势，从而使该链条能够支持更多种类的交易策略和收益获取方式。午方 AI 分析认为，随着 XRPL 去中心化金融生态的流动性发展至机构投资者可大规模运用的水平，其“具有抗攻击结构”的特性究竟是一种真正的竞争优势，还是仅仅成为机构投资者在面对现有流动性分布时选择忽略的一个因素，这一问题值得行业深思。这种在安全性与功能丰富度之间的博弈，将深刻影响未来机构资金在公链间的配置逻辑。