معظم عُقد لايتكوين تتجاهل تحديثًا لثغرة الإنفاق المزدوج

في وقت سابق من هذا العام، حاول أحد القراصنة إنفاق عملات لايتكوين ($LTC) مرتين قبل أن تفشل محاولته بفضل إعادة تنظيم طارئة لـ 13 كتلة.

لماذا لم يحدث التحديث الأمني للايتكوين؟

على الرغم من أن المطورين أصدروا عدة تصحيحات برمجية لمنع تكرار الاختراق، إلا أن معظم عُقد شبكة لايتكوين لم تقم بتثبيت هذه التصحيحات بعد. التحديث متاح للتحميل المجاني منذ ما يقرب شهرين، ومع ذلك، أقل من 30% من العقد التي تراقبها خدمات المراقبة الكبرى تستخدم البرنامج المحدث القادر على رفض المعاملات الخاطئة التي حدثت في أبريل الماضي.

للأسف، أكبر مجموعة من مشغلي عُقد اللايتكوين حسب إصدار البرنامج تستخدم الإصدار v0.21.4 الضعيف. هذا الإصدار يعمل على حوالي 39% من العقد القابلة للوصول، ومعظمها لا يقوم بالتعدين. لحسن الحظ، قامت معظم عُقد التعدين بتحديث برامجها، رغم أن معظم عُقد التحقق التي تشكل غالبية الشبكة لا تزال تعمل ببرامج قديمة مليئة بالأخطاء.

ماذا حدث في هجوم أبريل؟

التقرير الذي أعقب الحادثة اعترف بأن اعتماد البرنامج المصحح كان ضعيفًا جدًا بنسبة 23% فقط بعد أسبوعين من إطلاقه. مع مرور الأسابيع، لا تزال المعاملات غير الصحيحة التي تسببت في إعادة تنظيم أبريل قادرة على العثور على أغلبية مؤقتة تقبلها على الإنترنت، على الرغم من أن المعدنين لن يخدعوا وسيواصلون البناء على سلسلة الكتل الصحيحة.

الثغرة الأصلية كانت في طريقة تعامل برنامج لايتكوين الأساسي مع معاملات كتل MimbleWimble الإضافية (MWEB). MWEB هي طبقة خصوصية للايتكوين تم إطلاقها في 2022. في وقت سابق من هذا العام، سمحت معاملة MWEB غير صحيحة بإدخال كمية صغيرة جدًا مقابل سحب كمية أكبر بكثير من $LTC، مما أدى إلى إنشاء عملات لم يكن يجب أن توجد أبدًا.

لماذا تتجاهل العقد التحديث؟

سيكون الوضع أكثر أمانًا لو قامت معظم العقد – أو الأفضل جميعها – بتحديث برامجها لرفض معاملات السحب غير الصحيحة التي تحتوي على $LTC مزيفة. لكن رغم توفر التصحيح منذ أسابيع، فإن الشبكة إما رفضت التحديث أو كانت كسولة جدًا لتثبيته.

الاختراق الكبير حدث في 25 أبريل. قبلت عُقد التعدين غير المحدثة معاملة MWEB غير صالحة، وقام المخترق بسحب عملات إلى منصات طرف ثالث في محاولة لتحويل $LTC المزيفة إلى أصول أخرى. لحسن الحظ، إعادة تنظيم 13 كتلة بدأت من الكتلة رقم 3,095,931 نجحت في عكس هذه المعاملات ومحو حوالي نصف ساعة من نشاط سلسلة الكتل.

حساب لايتكوين الرسمي اعترف عبر وسائل التواصل الاجتماعي أن “ثغرة يوم صفر تسببت في هجوم حجب خدمة عطل أكبر مجمعات التعدين”. كما كتب تشارلي لي، مبتكر لايتكوين، عن محاولة الإنفاق المزدوج.

مطورو برنامج عُقد اللايتكوين أصدروا الإصدار v0.21.5.4 في اليوم التالي لإعادة التنظيم لإيقاف التهديد المباشر لهجمات حجب الخدمة على التعدين. ثم أتبعوه بتصحيح آخر في بداية مايو، الإصدار v0.21.5.5، لتعزيز التحقق من MWEB على مستوى الإجماع. لكن العديد من مشغلي العقد تجاهلوا ذلك ببساطة.

قيمة سوق لايتكوين تبلغ 3.4 مليار دولار. أمنها على المدى الطويل يعتمد على تحديثات برمجية تجاهلها معظم مشغلي العقد منذ ما يقرب شهرين.

أسئلة شائعة عن تحديث لايتكوين الأمني

• س: ما هي الثغرة التي تعرضت لها لايتكوين؟
  ج: الثغرة كانت في معاملات كتل MimbleWimble الإضافية (MWEB)، حيث سمحت بإدخال عملات قليلة جدًا مقابل سحب كمية كبيرة من $LTC، مما أنشأ عملات مزيفة. هذا سمح بمحاولة إنفاق مزدوج في أبريل الماضي.
• س: لماذا لم تقم معظم العقد بتثبيت التحديث الأمني؟
  ج: على الرغم من توفر التصحيح مجانًا منذ شهرين، إلا أن أقل من 30% من العقد قامت بتحديث برامجها. معظم العقد لا تزال تستخدم الإصدارات القديمة الضعيفة إما بسبب الكسل أو عدم الاهتمام بالأمن.
• س: هل تم حل مشكلة الاختراق بشكل كامل؟
  ج: نعم، تم عكس الاختراق عبر إعادة تنظيم 13 كتلة، وأصدر المطورون تحديثات لمنع تكراره. لكن الخطر لا يزال قائمًا طالما أن معظم العقد لم تقم بتثبيت التصحيح، مما يجعل الشبكة عرضة لهجمات مماثلة.