تأخر تحديث القسطنطينية Constantinople لعملة الإيثريوم (ETH) الذي طال انتظاره بعد اكتشاف نقطة ضعف حرجة في أحد التغييرات المخطط إدخالها.
أشارت شركة تشين سيكيوريتي ChainSecurity للتدقيق في العقود الذكية، يوم الثلاثاء 15 يناير/كانون الثاني، إلى أن مقترح تحسين الإيثريوم رقم 1283، في حال تطبيقه، من شأنه إحداث ثغرة في الكود تكون بمثابة منفذ للمهاجمين تمكنهم من سرقة أموال المستخدم. وأثناء مكالمة هاتفية، وافق مطورو الإيثريوم، فضلاً عن مطوري العملاء والمشروعات الأخرى التي تدير الشبكة، على تأجيل الهارد فورك، لفترة مؤقتة على الأقل، بينما يعملون على تقييم المشكلة.
كان من بين المشاركين مؤسس الإيثريوم فيتاليك بوتيرين، والمطورين هادسون جيمسون ونيك جونسون وإيفان فان نيس، ومدير الإصدارات بشركة Parity، أفري شويدن، وغيرهم آخرين. وسيتقرر موعد الفورك الجديد خلال مكالمة يجريها فريق تطوير الإيثريوم يوم الجمعة 18 يناير/كانون الثاني.
وبمناقشة تلك الثغرة عبر الإنترنت، خلص المطورون الأساسيون للمشروع إلى استنتاج مفاده أن الأمر سيستغرق وقتاً طويلاً لإصلاح العطل قبل إجراء الهارد فورك، الذي كان من المتوقع تنفيذه حوالي الساعة الرابعة، حسب التوقيت العالمي في 17 يناير/كانون الثاني.
يُطلق على الهجمات التي تستغل تلك الثغرات “هجمات إعادة الإدخال”، فتلك الثغرات تسمح بطبيعتها للمهاجم “بإعادة إدخال” الوظيفة ذاتها عدة مرات دون إطلاع المستخدم بكل ما يطرأ على حالة الوضع. وبموجب هذا السيناريو، يتسنى للمهاجم “سحب الأموال إلى الأبد”، على حد قول جوانس إسبانول، وهو المدير التقني لشركة أمبير داتا Amberdata المختصة في تحليلات البلوكتشين، في مقابلة سابقة مع كوين ديسك.
وأوضح قائلاً: “تخيل أن العقد الخاص بي لديه خاصية من شأنها الاتصال بعقد آخر.. إذا كنت من المهاجمين وبإمكاني إجراء وظيفة بينما الوظيفة الأخرى قيد التنفيذ، فقد يتسنى لي سرقة الأموال”.
هذا يشبه إحدى الثغرات التي استغلها الهجوم سيئ السمعة الذي تعرضت له المنظمات اللامركزية المستقلة (DAO) عام 2016.
أوضح منشور تشين سيكيورتي أنه قبل انقسام القسطنطينية، كانت عمليات التخزين على الشبكة تتكلف 5 آلاف وحدة من وحدات الغاز (رسوم معاملات الإيثريوم)، بما يتجاوز 2,300 وحدة من وحدات الغاز التي ترسل عادة عند مراسلة عقد لتنفيذ وظائف “إرسال” أو “نقل”.
لكن في حالة تطبيق التحديث، كانت عمليات التخزين “القذرة” تكلفت 200 وحدة غاز. يمكن “لعقد المهاجم أن يستخدم هذه الوحدات الزائد في التلاعب بالمتغيرات الموجودة في العقد المستهدف بنجاح”.
كان من المتوقع تطبيق القسطنطينية في العام الماضي 2018، لكن الأمر تأجل بعد اكتشاف مشكلات أثناء إطلاق التحديثات على شبكة الاختبار روبستن Ropsten.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.