عرب بت – أصدرت شركة تطوير المحافظ الإلكترونية الشهيرة Electrum تصحيحاً طارئاً لخطأ برمجي في محافظ البيتكوين. و قد اتاح هذا الخطأ لأي موقع مضيف لمحفظة Electrum القدرة على سرقة العملات الرقمية الخاصة بالمستخدمين .و يعني خرق كهذا أن كلمات المرور كانت مكشوفة في واجهة JSONRPC مما أعطى للمخترقين كامل السيطرة على المحافظ.وقد فشل البرنامج التصحيحي الأول في حل المشكلة مما اضطر Electrum إلى إصدار تحديث آخر للتصحيح في مساء الأحد الماضي.
حل سريع لحل مشكلة طويلة الأمد
في الأسبوع الماضي،اهتز عالم التكنولوجيا لأخبار تفيد بوجود خطأ ما في رقائق Intel الحاسوبية، و بقي هذا الخطأ خفياً عنا منذ سنوات عديدة. و تعد هذه قصة مماثلة لقابلية الإختراق التي حصلت مع محافظ Electrum ، و أفادت تقارير بوجود هذا الخطأ منذ أكثر من عامين. وقد صرح خبير Google في ضعف الشبكات Tavis Ormandy بإنه هو من قام بإكتشاف هذا الخطأ، و ذلك على الرغم من أن الخطأ قد تم الإبلاغ عنه في العام الفائت. و في غضون ساعات من إشارة Ormandy إلى الخطأ، قامت Electrum بإصدار تصحيح فوري لإصلاحه. و وضح Theymos المشرف على منتدى Bitcointalk في منشور له على المنتدى يوضح بها أنه في حالة أنك قد وجدت محفظة Electrum الخاصة بك في الماضي مفتوحة دون الحاجة لإدخال عبارة مرور و وجدت أيضاً أي صفحة ويب مفتوحة، فمن الممكن أن تكون محفظتك معرضة للخطر بالفعل. و على الجميع و بالأخص الأشخاص كثيرو الريبة أن يرسلوا كل الـبيتكوين الخاصة بهم من المحافظ القديمة إلى محفظة Electrum التي تم إنشاؤها حديثاً. و قام بعد ذلك بالتحديث على منشوره مضيفاً عليه :
” إن لم يكن لديك أي كلمة مرور للمحفظة، فإذاً سرقتك غير ذات أهمية أما في حال كان لديك كلمة مرور صعبة نوعاً ما، فإنه يبدو لي بأن المخترق قد يأخذ فقط معلومات العنوان والتداول من محفظتك وقد يقوم بتغيير إعدادات الـ Electrum الخاصة بك. و هذا الإحتمال الأخير يبدو لي كفرصة أكبر للإستمرار بإستغلالك. فلذلك إذا كان لديك كلمة مرور للمحفظة، فيمكنك تخفيف هلعك قليلاً، ولكن عليك الإستمرار بأخذ الأمر بجدية كبيرة “
فقد صرح أول شخص قام بالإبلاغ عن الخطأ في 24 من نوفمبر الماضي بأنه عندما يكون electrum daemon قيد التشغيل، فان أحداً ما على المضيف الظاهري من خادم الويب قد يستطيع بسهولة الوصول لمحفظتك عبر مدخل RPC المحلي. و حالياً، لا يوجد أي إجراءات أمن أو تحقق من الهوية، مما يمنح أي شخص حرية الدخول لمدخل RPC و بالتالي السماح الكامل بالوصول إلى المحفظة.
هذا وغير أن Electrum برمجية مجانية يستخدمها العديد من مواقع العملات الرقمية، بما في ذلك التجار و المصارف، من أجل تخزين البيتكوين. وكما يمكن لأي شخص أن يُدير أحد خوادم Electrum ، و تدعم هذه البرمجية العديد من المحافظ المادية مثل : Trezor ، Ledger ، Keepkey . و نذكرمن خواصها المحسنة : إمكانية وجود تواقيع مختلفة و القدرة على توقيع التداولات بإستخدام أجهزة تخزين غير متصلة بالشبكة (cold storage device).
و يبدو لنا بإن هذا الخطأ قد تم إصلاحه دون وقوع أية أضرار تُذكر و لو كانت هذه المحاولة تُعد الثانية بعد أن أثبت الإصلاح الأول فشله و يصعب الجزم بأنه لم يتم سرقة أية أموال، وذلك نظراً لطول الزمن الذي أَستغرقه اكتشاف هذا الخطأ. و توضح لنا هذه القضية مرة أخرى مخاطر ترك البيتكوين مخزنة على محفظة على شبكة الإنترنت.
________
المصدر : Bitcoin.com
Comments are closed.