عانت إحدى شبكات المدفوعات الشهيرة القائمة على بلوكتشين البتكوين ثغرةً في كودها منذ زمن طويل، ثغرةً كانت تمكِّن منفذي الهجمات من استنفاد أرصدة المستخدمين.
وفيما أعلن مطوِّر البتكوين راستي راسل وجودها في البداية يوم 30 أغسطس/آب السابق، فقد صدر بيان الإفصاح التام لتوضيح كيف يمكن لمنفذي الهجمات استغلال هذه الثغرة يوم الجمعة 27 سبتمبر/أيلول.
وكتب راسل في البيان: “يستطيع منفذ الهجمات أن يزعم فتح قناة [لمدفوعات لايتننغ Lightning] ولكن إما لا يدفع إلى القرين، وإما لا يدفع المبلغ كاملاً”.
وشبكة لايتننغ هي بروتوكول مدفوعات من الطبقة الثانية بإمكانه إجراء معاملات فائقة السرعة وبلا تكلفةٍ تُذكر على بلوكتشين البتكوين. ولأجل إرسال المستخدمين المعاملات عبر شبكة لايتننغ، عليهم فتح ما تُسمَّى بـ”قنوات المدفوعات” لإرسال الأموال واستقبالها من مستخدمي لايتننغ الآخرين.
ومن دون التحقُّقات اللازمة، يمكن لمنفذي الهجمات التظاهر بفتح قناة مدفوعات جديدة وإرسال معاملات زائفة. وعند الاحتيال عليه، يمكن للمستخدم الأمين بعدئذٍ إرسال نقود حقيقية إلى منفذ الهجمات غافلاً عن كون المعاملات السابقة مصطنعةً تماماً. وليس من الواضح عدد المستخدمين الذين سقطوا ضحية هذه الهجمات.
ووفقاً لراسل، فقد جرى بالفعل تحديث جميع أنظمة برمجيات لايتننغ لدى العملاء لإصلاح هذه الثغرة.
وعند سؤاله عن سبب استغراق الإفصاح عن الثغرة للمستخدمين ثلاثة أشهر، قال بيير ماري باديو -الرئيس التنفيذي لشركةٍ تتولى صيانة واحدٍ من أشهر ثلاثة تطبيقات لايتننغ- إن المطورين كان عليهم توخِّي كامل الحذر.
وورد على لسان باديو: “مشكلة هذه الثغرة هي أنك ما إن تعرف بأمرها، تبدو واضحةً جداً. وليست ثلاثة أشهر بالوقت الطويل. بل هو وقت قصير جداً لأنك تمنح المستخدمين الزمن المطلوب للتحديث… فكثير من المستخدمين لا يجرونه”.
وأضاف أن مطوِّري لايتننغ لم يرغبوا في المجازفة بفضح الثغرة حتى التأكد تماماً من عدم وجود خطرٍ على أي مستخدم.
وتابع باديو: “هناك دائماً مشاكل. حتى في بروتوكول البتكوين، كان هناك كثير من الأخطاء”، مضيفاً: “ستكون الأخطاء موجودةً دوماً. أكثر ما يهم هو كيفية التعامل مع هذا بأفضل طريقةٍ لحماية المستخدمين”.
مواضيع تهمك
هناك مواضيع أخري متعلقة