شركة أمنية تحذر من بعض الثغرات لأكثر من 280 بلوكتشينز
قامت دوجكوين ولايتكوين وZcash بتصحيح الثغرة الأمنية “الحرجة” مخاطرة بما قيمته المليارات من العملات الرقمية.
وقالت شركة الأمن السيبراني هالبورن Halborn إنه تم التعاقد معها في مارس/ آذار 2022 لإجراء مراجعة أمنية لقاعدة كود دوجكوين ووجدت “العديد من نقاط الضعف الحرجة والقابلة للاستغلال”.
اقرأ أيضا: ما هو البلوكتشين “blockchain” بلغة بسيطة
ثغرات متعلقة بـ RPC
وحذرت هالبورن من الثغرة الأمنية التي أطلقت عليها اسم “Rab13s”، مضيفة أنها قد عملت بالفعل مع بعض سلاسل الكتل، منها دوجيكيون ولايتكوين وZcash، لإحداث إصلاح لها.
كما حددت هالبورن ثلاث نقاط ضعف رئيسية، تسمح “أهمها” للمهاجم بـ “إرسال رسائل إجماع ضارة متقنة إلى العقد الفردية، مما يؤدي إلى إغلاق كل منها”.
وأضافت الشركة أن هذه الرسائل بمرور الوقت يمكن أن تعرض بلوكتشين لهجوم بنسبة 51٪ حيث يتحكم المهاجم في غالبية معدل تجزئة التعدين للشبكة أو العملات الرقمية المكدسة لإنشاء إصدار جديد من بلوكتشين أو إيقاف تشغيله.
وتسمح الثغرات الأخرى التي تم العثور عليها للمهاجمين المحتملين بتعطيل عقد بلوكتشين عن طريق إرسال طلبات استدعاء الإجراء البعيد (RPC)، وهو بروتوكول يسمح لبرنامج ما بالاتصال وطلب خدمات من برنامج آخر.
وأوضحت الشركة أن احتمالية حدوث ثغرات متعلقة بـ RPC كانت أقل لأنها تتطلب بيانات اعتماد صالحة للقيام بالهجوم.
وحذرت هالبورن من أنه “نظرا لاختلافات قاعدة التعليمات البرمجية بين الشبكات، فإنه من غير الممكن استغلال جميع الثغرات الأمنية على جميع الشبكات، ولكن قد تكون واحدة منها على الأقل قابلة للاستغلال على كل شبكة”.
وقالت الشركة في هذا الوقت إنها لن تنشر مزيدا من التفاصيل الفنية عن برمجيات إكسبلويت نظرا لخطورتها وأضافت أنها بذلت “جهدا حسن النية” للاتصال بجميع الأطراف المتأثرة للكشف عن عمليات الاستغلال المحتملة وتوفير معالجة للثغرات الأمنية.
تجدر الإشارة إلى أن دوجكوين ولايتكوين وZcash قد طبقت بالفعل تصحيحات لنقاط الضعف المكتشفة، إلا أنه لا يزال من المحتمل الكشف عن المئات غيرها.
