أصدر كبار عملاء الإيثريوم (ETH)، مثل غو إيثريوم (Geth) وباريتي Parity، تحديثات برمجية عقب قرار سابق بتأجيل إطلاق الترقية الشاملة المُخططة للنظام والمعروفة بالقسطنطينية.

صدر القرار بتأجيل إطلاق الترقية يوم الثلاثاء 15 يناير/كانون الثاني أثناء اجتماع هاتفي للمُطورين، وذلك بعدما اكتشفت شركة تشين سيكيوريتي Chain Security، شركة تدقيق ومراجعة البلوكتشين، ثغرة أمنية بواحد من التغييرات المخططة في ترقية القسطنطينية، وهو مقترح تحسين الإيثريوم (EIP) رقم 1283. وإذا ما اُستغلت الثغرة، ستكون الشبكة عُرضة لـ”هجمات إعادة الإدخال”، مما سيسمح للمعتدين بسحب أرصدة من نفس المصدر مرات متعددة.

وسيجري تحديد بلوك تفعيل جديد للترقية أثناء اتصال هاتفي آخر في ميعاد لاحق خلال الأسبوع الحالي.

ولمنع الفورك من الحدوث، بادر مُطوري كبرى تطبيقات الإيثريوم بإصدار نسخ جديدة من البرمجية، خاصة أنَّه تم بالفعل تحديث بعض العملاء على الشبكة استباقاً للفورك.

إذ أصدرت غيث حزمة إصلاح عاجلة طارئة (الإصدار 1.8.21) مُصممة لتأجيل تفعيل الترقية. وإنَّ أشار المُطور بيتر سيلاجي إلى أنَّ المستخدمين غير الراغبين في الترقية إلى النسخة الجديدة بإمكانهم إما تخفيض الإصدار إلى إصدار 1.8.19 أو الاستمرار في تشغيل النسخة الحالية (1.8.20) بمساعدة آلية تجاوز.

وبالمثل، يمكن لعملاء باريتي إما ترقية نسختهم الحالية إلى 2.2.7 (إصدار نهائي) أو 2.3.0 (إصدار بيتا) أو تخفيض الإصدار إلى 2.2.4 (إصدار بيتا).

وقال كيريل بيمينوف، مدير الأمن بباريتي للتكنولوجيا أثناء محادثة بين المطورين الرئيسيين للإيثريوم عبر برنامج الدردشة غيتير Gitter، إنَّه يوصي المستخدمين بالترقية إلى الإصدار الجديد بدلاً من التخفيض إلى إصدار قديم، شارحاً: “أريد التأكيد مرة أُخرى على أنَّ تخفيض إصدار باريتي إلى نسخ ما قبل القسطنطينية فكرة سيئة، فنحن لا نوصي أحد بذلك على الإطلاق. نظرياً من المفترض أنَّ تعمل الفكرة بنجاح، ولكننا لا نرغب في التعامل مع هذه الفوضى”.

وعلى نحو مماثل، أخبر أفري شودين مدير الإصدارات بباريتي محرر كوين ديسك CoinDesk أنَّه يوصي باستخدام اصدار 2.2.7 وإنَّ كان من المفترض أنَّ يعمل الإصداران الآخران أيضاً.

وكان هادسون جايمسون المطور الرئيسي قد كتب في منشور مدونة أنَّه في حال لم تكن تدير عقدة أو تشارك بشكل ما على الشبكة، فلست بحاجة حقاً إلى فعل أي شيء.

كما أضاف أنَّ مالكي العقود الذكية ليسوا بحاجة إلى فعل أي شيء أيضاً، كاتباً مع ذلك “ربما عليك دراسة تحليل مواطن الضعف المحتملة ومراجعة عقودك”.

على الرغم من ذلك، فقد أشار جايمسون إلى أنًّ التغيير الذي قد يتسبب في المشكلة المحتملة لن يتم إتاحته.

ومنذ ظهور منشور المدونة، عكف باحثو الأمن بشركة تشين سيكيوريتي، أول من اكتشف الخطأ البرمجي، وشركة ترايل أوف بيتس TrailOfBits للخدمات الأمنية على تحليل البلوكتشين بأكملها.

هجمات إعادة الإدخال

لم تُكتشف أية بوادر لمواطن ضعف في العقود العاملة حتى الآن. على الرغم من ذلك، أشار جايمسون أنَّه “ما زالت هناك مخاطرة بتأثر بعض العقود”.  

ولكي تتفادى التحويلات على شبكة الإيثريوم هجمات إعادة الإدخال، يتم دفع قدر صغير من الإيثريوم يُعرف بالوقود لمنع المهاجمين من إعادة استخدام التحويل لسرقة الأرصدة.

إلا أنَّه وفقاً لتصريح هوبير ريتزدورف، مُكتشف موطن الضعف ورئيس قسم التكنولوجيا بشركة تشين سيكيوريتي، لموقع كوين ديسك فأحد “الأعراض الجانبية” لمقترح تحسين الإيثريوم رقم 1283 يسمح للمهاجمين باستغلال هذا القدر الصغير من الوقود لأغراض مؤذية.

إذ قال ريتزدورف، “الفرق أنَّك لم تكن تستطيع فعل شيء مؤذٍ بهذا القدر الضئيل من الوقود في السابق، كان بإمكانك فعل شيء مفيد وليس بإمكانك فعل شيء مؤذٍ. ولكن الآن بعدما أصبحت بعض العمليات أقل تكلفة، أصبح من الممكن إيقاع بعض الأذى بهذا القدر الضئيل من الوقود”.

وبالرغم من أنَّ قضية هجمات إعادة الإدخال دائماً ما تشغل بال مُطوري العقود المستخدمين للغة البرمجة سوليديتي Solidity على شبكة الإيثريوم، إلا أنَّه طِبقاً لماثياس إيغلي مدير العمليات بشركة تشين سيكيوريتي فليس من السهل على المُطورين الرئيسيين رصد هذا الضعف بسهولة، إذا ما كان جل اهتمامهم مُنصب على ميكانيكات الآلة الافتراضية.    

فقد صرح لموقع كوين ديسك قائلاً: “إنَّ ما سمح بهذا الهجوم أمر مُتعلق بلغة البرمجة سوليديتي وليس أمراً له علاقة بالآلة الافتراضية لشبكة الإيثريوم. وهذا كان عامل في عدم ملاحظة كيف ستفتح تغييرات بسيطة في تكلفة الوقود الباب عملياً أمام نوع جديد من الهجمات لم يُكن في الحسبان سابقاً”.

وأضاف ريتزدورف أنَّ إصلاح المشكلة ليس بسهولة تحديث حدود تكلفة وقود الإيثريوم، شارحاً أنَّه “إذا ما استبدلنا هذا القدر برقم صغير الآن، سنكون وجدنا حل لمشكلة موطن الضعف ولكننا سنخرق العديد من العقود الذكية الموجودة بالفعل في الوقت نفسه”.

ولهذا كان تأخير إطلاق ترقية القسطنطينية القرار الصائب في الوقت الراهن طِبقاً لإيغلي.

إذ قال، “كان هذا هو القرار الصائب لأنَّه على الأقل يعطي الباحثين بعض الوقت لتقييم التأثير على المعاملات الواقعية. وفي الأغلب سيتم سحب مقترح تحسين الإيثريوم من الهارد فورك المقبل بعدما تقرر تأجيله لشهر تقريباً”.

الخطوات القادمة

حتى وقت صدور هذا المقال، يعمل المُطورون على التواصل مع منصات التبادل، والمحافظ، وتجمعات التعدين والمجموعات الأُخرى التي تستخدم أو تتفاعل مع شبكة الإيثريوم.

في حين يُخطط المُطورون الرئيسيون لمناقشة الخطوات طويلة الأجل، مثل ميعاد تفعيل ترقية القسطنطينية وكيفية إصلاح الخلل بمقترح تحسين الإيثريوم رقم 1283، خلال اتصال آخر في 18 يناير/كانون الثاني.

واقترح عدة مُطورين بدء نوع ما من برامج المكافأة لاكتشاف الثغرات الأمنية، مُهتماً بتحليل الكود، لضمان اكتشاف الثغرات الأمنية المستقبلية مُسبقاً بدلاً عن اكتشافها “قبل يوم الهارد فورك مباشرة“.

إذ أشار سيلاجي أنَّ مقترح تحسين الإيثريوم المعني متاح للمراجعة منذ قرابة العام، مضيفاً أنَّ “ربما ليس عرض بعض المنح المالية من أجل تعيين أعين أكثر تركيزاً بفكرة سيئة”.