كشف المحقق في سلسلة الكتل “زاك إكس بي تي” عن ثغرة خصوصية في محفظة زاشي بسبب تكاملها مع بروتوكول Near Intents للمعاملات عبر السلاسل. ذكر الباحث المستقل في سلسلة منشورات على “إكس” يوم الثلاثاء أنه اختبر النظام للعثور على “ثغرات في التصميم يمكن استغلالها” أثناء تحقيقه لمشاريع احتيالية محتملة.
ما هي محفظة زاشي؟
زاشي هي محفظة عملات رقمية غير وديعية طورتها شركة Electric Coin Co، الفريق القائم وراء عملة Zcash (ZEC) التي تركز على الخصوصية منذ عام 2016. تسمح المحفظة للمستخدمين بإرسال واستلام وإنفاق عملة ZEC مع الحفاظ على نشاطهم المالي مخفيًا عن الوسطاء والشركات أو المراقبة الحكومية.
كيف تم اكتشاف الثغرة؟
اختبر زاك إكس بي تي تكامل زاشي مع بروتوكول Near Intents بسبب “الضجة الأخيرة” حولها، متسائلاً عما إذا كانت تحافظ على نفس مستوى الخصوصية الذي يتوقعه مستخدمو Zcash. في تجربته، قام بنقل 1 SOL من شبكة سولانا إلى عملة Zcash باستخدام بروتوكول Near Intents عبر محفظة زاشي. ثم قام بإخفاء الأموال للحفاظ على الخصوصية.
بعد ذلك، استخدم ميزة “CrossPay” في المحفظة، التي تسمح بإنفاق عملة ZEC المخفية وإرسال قيمتها المكافئة بعملة أخرى، لتمويل عنوان على شبكة إيثيريوم بقيمة 0.005 ETH.
المفاجأة كانت عندما اكتشف وجود معاملة استرداد بقيمة 0.001598 ZEC تم إرسالها إلى نفس العنوان الشفاف الذي بدأ منه عملية إخفاء الأموال.
كيف أثرت هذه الثغرة على الخصوصية؟
وفقًا للتقرير، فإن معاملة الاسترداد التلقائية هذه خلقت رابطًا مرئيًا بين عنوانيه المخفي والشفاف، مما يقوض الخصوصية التي صُمم نظام Zcash لحمايتها. كانت معاملة الاسترداد قابلة للتتبع publicly على سلسلة كتل Zcash، مما يسمح لأي شخص بمطابقة التوقيت والمبالغ بين نظام Near Intents ومعاملة الاسترداد نفسها.
وعلّق زاك إكس بي تي قائلاً: “يمكن لأي شخص ببساطة مطابقة التوقيت والمبالغ من عنوان Near Intents وتحديد معاملات استرداد ZEC، مما يسمح بإزالة الخصوصية عن العنوان الشفاف الذي بدأت منه عملية الإخفاء، لأنه ثابت وعمليات الاسترداد غير مخفية.”
رد فعل فريق تطوير زاشي
بعد تحديد الثغرة، اتصل زاك إكس بي تي بفريق تطوير زاشي، الذي اعترف بالمشكلة وأكد خططًا لإدخال عناوين مؤقتة. ستختفي هذه العناوين بعد كل معاملة لتقليل إمكانية التتبع، إذا تم تنفيذ التحديث كما هو مخطط له. كما أخبروه أن عمليات الاسترداد المخفية ستُدرج في بروتوكول Near Intents في تحديث مستقبلي.
وعلى الرغم من هذه الثغرة، وصف زاك إكس بي تي تجربة استخدام زاشي بأنها “ممتعة للخصوصية”، مشيرًا إلى أنها تصلح العديد من مشاكل واجهة المستخدم التي واجهها مع عملة Monero الأخرى.
ما هو بروتوكول Near Intents؟
يشهد بروتوكول Near Intents زيادة في نشاط المستخدمين وحجم المعاملات، حيث تجاوز إجمالي حجم المعاملات 2 مليار دولار. ارتفع الحجم اليومي على النظام القائم على النوايا بنسبة 379%، مع تجاوز عدد المستخدمين 457,000 منذ 21 سبتمبر.
يعمل البروتوكول على أتمتة الإجراءات عبر السلاسل من خلال آلية قائمة على النوايا. بدلاً من الربط أو تبديل الرموز يدويًا، يقوم المستخدمون أو وكلاء الذكاء الاصطناعي نيابة عنهم بنشر النتيجة المرجوة، مثل تبديل رمز بآخر.
في آخر 24 ساعة، أجرى المستخدمون معاملات بقيمة 65 مليون دولار، وشكلت ZEC نسبة 10% من هذا الإجمالي. تدعم المحفظة حاليًا ميزتين هما Zashi Swaps و CrossPay.
الأسئلة الشائعة
س: ما هي الثغرة التي تم اكتشافها في محفظة زاشي؟
ج: تم اكتشاف ثغرة خصوصية حيث أن معاملات الاسترداد التلقائية من خلال تكامل Near Intents كانت تربط بين العناوين المخفية والشفافة للمستخدم، مما يجعل النشاط قابلاً للتتبع.
س: كيف سيتم إصلاح هذه المشكلة؟
ج: فريق تطوير زاشي يخطط لإدخال عناوين محفظة مؤقتة تختفي بعد كل معاملة، وتضمين عمليات استرداد مخفية في التحديثات المستقبلية لبروتوكول Near Intents.
س: هل ما زالت محفظة زاشي آمنة للاستخدام؟
ج: على الرغم من الثغرة، وصفها المحقق بأنها تجربة ممتعة للخصوصية، والفريق يعمل على إصلاح المشكلة. ينصح المستخدمون بالانتظار حتى يتم تطبيق التحديثات الأمنية.
