过去两个月最大的两个DeFi攻击有一个共同点。它们使用了一种在XRP分类账上不存在的工具。

Thorchain在5月15日遭遇了一次跨链攻击，损失约1080万美元，该攻击涉及比特币、以太坊、BSC和Base的资金流失。基于Solana的去中心化永续交易所Drift Protocol和在以太坊上的液态再质押协议KelpDAO，到4月为止共计损失超过6亿美元。

根据Chainalysis，自2021年以来，跨链桥已因为攻击损失超过28亿美元。而这些攻击中， знач数量都使用了某种变种的相同机制：闪贷。

闪贷是一种智能合约特性，允许交易者在没有抵押品的情况下借入数百万美元，前提是贷款在同一交易内得到偿还。合法的使用案例包括在交易所之间进行套利、无需平仓进行抵押品交换，以及在借贷市场中维护偿付能力的清算机器人。

攻击模式是同一种机制的错误方向运用。

借款人获取贷款，利用资金操控一个预言机或抽干一个设计不良的池子，从操控中获利，然后在交易结算之前还清贷款。如果任何一步失败，整个过程将会回滚，因此攻击者只面临燃气费的风险。

XRP分类账不允许这种情况发生。本周早些时候，在XRPL标准库中提交的修订草案，提议为链的本地自动化市场制造商提供集中流动性和类似StableSwap的池，其安全性考虑部分中包括了一行内容：“闪贷攻击在结构上是不可能的。XRPL交易是原子性的，不包含可组合的内部交易调用。”

这意味着XRPL交易要么完全成功，要么完全失败，类似于以太坊交易。但与以太坊不同的是，XRPL交易在执行过程中不能调用另一个合约。定义闪贷攻击的借贷-操控-偿还序列需要在单个交易封装内至少有三个嵌套操作。

这是一个重要的架构选择，而这也有成本。闪贷不仅仅是一个攻击工具。它们已成为以太坊DeFi的结构性组成部分，Aave、dYdX和其他主要协议将其作为一种产品提供。套利交易者使用闪贷在一次原子操作中清除交易所之间的价格差异。

清算机器人利用它们保持超额抵押的借贷头寸的偿付能力。复杂的DeFi用户使用它们进行抵押品交换，否则需要耗费数小时的资金。XRPL放弃了所有这些，以完全关闭攻击类别。

在XRPL的大部分历史中，这种权衡并不重要，因为该链的DeFi足迹较小。但这一情况正在改变。XRP分类账上的代币化现实资产总价值已突破30亿美元，其中包括上个月Ripple、摩根大通、万事达和Ondo Finance试点项目，处理了不到五秒钟的代币化美国国债赎回。

如果草案AMM修订通过，将关闭一直使XRPL DeFi落后于以太坊的资本效率差距，使得该链能够开放更多的交易和收益策略。

如果AMM修订通过，XRPL的DeFi流动性向机构资本能够大规模部署的方向增长，那么问题就变成了结构性抵御攻击是否是真正的竞争优势，还是只是一个被机构忽视的特性，而机构则偏好于已有流动性的地方。