عرب بت – Arabbit تم الكشف عن ثغرة أمنية حرجة في محفظة “Parity” متعددة التواقيع في 6 نوفمبر، و التي أثرت على المحافظ التي تم إنشاؤها بعد 20 يوليو. حيث أصدرت “Parity” اليوم تقريرًا أمنيًا لإبلاغ مستخدميها والمطورين حول الخلل الذي تم الكشف عنه “مصادفةً”، والذي أدى إلى تجميد ما قيمته أكثر من 280 مليون دولار من الإيثر، بما في ذلك 90 مليون دولار تنتمي إلى مؤسس “Parity” ومطور الاثيريوم الأساسي “غافن وودز”.
منذ متى يوجد هذا الخلل؟
كما أشار “دان غويدو”، فإن هذا الخلل قد تم نشره قبل أكثر من 100 يوم في 20 يوليو، أي بعد يوم واحد من استغلال الخلل الأصلي في المحفظة وإصلاحه.
الخلل:
قال مستخدم يدعى “devops199” أنه قام مصادفة بالكشف عن هذا الخلل، وقدم تقريرًا من خلال تذكرة GitHub. حيث أن العقد الذي تم حديثًا والذي كان يحتوي على الثغرة الأمنية، لم يتم تعيين مالكه. وعلى الرغم من أن العقد كان موجودًا في المكتبة، إلا أن “devops199” كان بإمكانه تحويله إلى محفظة متعددة التواقيع العادية. وذلك لأنه بالنسبة إلى الاثيريوم لا يوجد فرق حقيقي بين الحسابات والمكتبات والعقود. وحدث هذا من خلال صفقتين، الأولى كانت بالاستيلاء على المكتبة والثانية كانت بالقضاء عليها. حيث حدث هذا في جميع المحافظ متعددة التواقيع التي تم إنشاؤها بعد 20 يوليو.
المعاملة الأولى:
يقوم المستخدم في المعاملة الأولى بتعيين نفسه المالك لمكتبة “Parity” باستخدام الدالة “initWallet()” وهي الدالة التي تم استغلالها أصلا في 19 يوليو. وبتعيين مالك المكتبة سيكون بإمكان المستخدم تحويل المكتبة إلى محفظة متعددة التواقيع بشكل مباشر.
المعاملة الثانية:
بعد تعيين المستخدم نفسه كمالك للمكتبة، سيكون بإمكانه استدعاء الروتين “kill()” الذي يؤدي بدوره إلى إيقاف جميع المحافظ التي كانت تعتمد على هذه المكتبة كطرف الثالث. وهذا بدوره يؤثر على جميع المحافظ التي تم إنشاؤها بعد تاريخ 20 يوليو.
النتيجة:
على الرغم من أن العقود الذكية المعرضة للهجوم كانت مفتوحة المصدر وتم نشرها منذ أشهر، إلا أن هذا الخطأ نجح في الفرار من المراجعة بالشيفرة البرمجية التي أجراها فريق “Parity“. وبما أن العقود الذكية نفسها مصممة بحيث لا يمكن تصحيحها بسهولة، فإنه في حال حدوث الخلل نفسه في المحافظ التي تعتمد على طرف ثالث سيكون ذلك مميتًا بالنسبة لها. وفي الحقيقة فإن المكتبات العالمية لا يزال النقاش قائم بشأنها أيضًا، وبهذا سيكون من الصادم أن تعمل بالطريقة التي تعمل بها أنظمة التشغيل اليومية.
ومن ناحية أخرى، لقد رأينا الكثير من الحماس من الكثير من الناس حول العقود الذكية القائمة على البلوكشين، حيث إن الافتراض العام من المستخدمين هو أنها ستكون آمنة. ولكن مثل أي برنامج آخر من الممكن أن تكون العقود الذكية عرضة للخطر أيضًا. بحيث تشكل القضايا الأمنية الأخيرة حول العقود الذكية تحديًا أكبر وأكبر في استدامة تخزين الأموال على طبقة البرمجيات القائمة على البلوكشين.
_____
المصدر : https://Blog.comae.io
رأيت هذا الخبر في منتديات وقروبات اجنبية، من أكتشفه مبتدء وقوبل بالثناء من كبار المطورين شكرا لكم لمتابعة اخبار مثل هذه