كشفت شركة Unciphered للأمن السيبراني للعملات المشفرة، عن خلل في محفظة العملات المشفرة عمره عقد من الزمان يؤثر على المحافظ القائمة على المتصفح والتي تم إنشاؤها بين عامي 2011 و2015.
قد يسمح هذا الخطأ للجهات الفاعلة الشريرة بسرقة ما يصل إلى 2.1 مليار دولار من محافظ على شبكات مختلفة، بما في ذلك البيتكوين BTC، الدوجكوين DOGE، اللايتكوين LTC، وزدكاش ZEC.
اكتشاف خطأ قديم في محفظة العملات المشفرة
في مقابلة مع صحيفة وول ستريت جورنال، أوضح فريق Unciphered أنهم اكتشفوا الخطأ عن طريق الخطأ أثناء محاولة فاشلة لاسترداد مبلغ 600000 دولار من عملة البيتكوين (BTC) المفقودة لأحد المستثمرين الأوائل.
أنشأ رجل الأعمال، نيك سوليفان، محفظته الخاصة بالبيتكوين في عام 2014 باستخدام موقع Blockchain.info الذي أعيدت تسميته منذ ذلك الحين إلى Blockchain.com. وفي وقت لاحق، فقد بطريق الخطأ إمكانية الوصول إلى عملاته المشفرة بعد مسح ذاكرة جهاز الكمبيوتر الخاص به دون أن يتذكر تسجيل المفتاح الخاص لمحفظته.
بناءً على طلب سوليفان، بدأت Unciphered البحث عن عملات سوليفان الرقمية في يناير/كانون الثاني 2022. وعلى الرغم من افتقارهم في النهاية إلى المعلومات الكافية لاستعادتها، فقد أدركوا في هذه العملية أن رمز Blockchain.info لإنشاء مفاتيح محفظة عشوائية – BitcoinJS – لم يصنع جميع محافظه.
قال إريك ميشود، المؤسس المشارك لشركة Unciphered: “لقد تم تقسيم BitcoinJS بشكل رهيب حتى مارس/أذار 2014. أي شخص يستخدمه بشكل مباشر يكون على درجة عالية جداً من خطر الهجوم.”
يستخدم موقع محفظة أخر، Dogecoin.info، BitcoinJS أيضاً، مما يترك العديد من مستخدمي Dogecoin القدامى معرضين لنفس الثغرة الأمنية.
ادعاءات غير مشفرة بأن محفظة العملات المشفرة التي تم إنشاؤها قبل مارس/أذار 2012 تحتوي على أصول بقيمة 100 مليون دولار يمكن اختراقها بسهولة بواسطة مستخدم الكمبيوتر المنزلي. وهناك 50 مليار دولار أخرى محفوظة في محافظ تم إنشاؤها بين ذلك الحين وعام 2015، منها ما لا يقل عن 500 مليون دولار معرضة للخطر.
اكتشف علماء العملات الرقمية عيوباً في عشوائية إنشاء محفظة العملات المشفرة في عام 2014، وقاموا بتحسين أساليبهم منذ ذلك الحين. وقالت Unciphered إنها لم تكتشف أي محافظ تم إنشاؤها بعد عام 2016 تعاني من العشوائية الضعيفة.
كيف نخبر الضحايا؟
أعلنت Unciphered عن الثغرة الأمنية هذا الأسبوع، لكنها حذرت المستخدمين المتأثرين بهدوء من أن أصولهم معرضة للخطر لعدة أشهر.
كان التحدي يتمثل في إقناع الملايين من الضحايا بنقل أموالهم دون الكشف عن نقاط الضعف أمام اللصوص الذين كانوا سيستغلونها لسرقة محفظة العملات المشفرة.
قررت Unciphered في النهاية الانتقال إلى أكبر موقع مسؤول عن إنشاء مثل هذه المحافظ التي قد تكون في وضع يمكنها من إخطار المستخدمين المتأثرين بشكل منفصل. وانتهى الأمر بهذا الموقع ليكون هو الموقع الذي استخدمه سوليفان Blockchain.com.
أرسل الموقع رسائل بريد إلكتروني إلى أصحاب أكثر من 1.1 مليون محفظة متأثرة ووجد طريقة لتحديث محافظ أي شخص يزور موقعه تلقائياً.
قال لين كاسلمان، رئيس Blockchain.com، فيما يتعلق بتحذير Unciphered: “في مجال العملات المشفرة، يجب أن تكون متشككاً جداً في الأشخاص الذين يتصلون بشيء يبدو مثيراً، لأن هناك الكثير من المحتالين. لم يكن من الواضح من هم وما هو نطاقهم.”
لا يزال العديد من مستخدمين محفظة العملات المشفرة المتأثرين لم يتم تحذيرهم بشكل مباشر، نظراً لأن المواقع التي استخدموها لإنشاء محافظهم أصبحت الآن خارج نطاق العمل.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.