تم الكشف في 20 مارس عام 2018 عن أن الخطأ التقني المُخبّأ في إعداد عقد الإيثيريوم الذكي في منصة التبادل “Coinbase”، يمكن أن يكون قد منح المستخدمين إمكانية الوصول إلى كميات غير محدودة من عملة الإيثر، ولا يبدو أن الثغرة قد استُغلت أو حتى لوحظت  من قِبل المستخدمين حتى وقتنا الحالي.

ووفق ما ذكر موقع بيتكوين ماجازين، اكتُشفت هذه القضية لأول مرة في ديسمبر/كانون الأول 2017 من قِبل شركة “VI”، وهي شركة هولندية متخصصة في التكنولوجيا المالية، والتي كانت تخطط لمنح موظفيها مكافآت من الإيثر في الاحتفال بموسم الأعياد المرتقب، عندما لاحظ الباحثون مشكلة مع “رمز استلام الإيثر” الخاص بهم، أثناء الحصول على المال من العقد الذكي، ورأوا أنه، باستخدام عقد ذكي، يمكن “خداع” سلسلة من المحافظ الرقمية في تسجيل عمليات نقل الإيثر والتصديق على مشتريات لم تحدث أبدًا.

 

الثغرات الموجودة

أصدر الفريق البيان التالي، في تقرير عن الثغرات نُشر مؤخرًا، على حساب “HackerOne” الخاص بالشركة في يناير 2018:

“باستخدام عقد ذكي لتوزيع “الإيثر” على مجموعة من المحافظ، يمكنك التلاعب برصيد الحساب الخاص بك في محفظة “Coinbase”، إذا فشلت معاملة محفظة واحدة في العقد الذكي، فسيتم عكس جميع المعاملات قبل ذلك، ولكن لن يتم عكس هذه المعاملات في محفظة “Coinbase”، ما يعني أن الشخص يمكنه إضافة “الإيثيريوم” إلى رصيده كما يريد”.  

 

وحدد التقرير الخطوات التالية للاستفادة من نقاط ضعف المحفظة:

  1. قم بإعداد عقد ذكي باستخدام عدد قليل من محافظ “Coinbase” الصحيحة، وواحدة نهائية معيبة.
  2. قم بتحويل أموال مناسبة للعقد الذكي.
  3. فعِّل العقد الذكي بإضافة كمية محددة من الإيثر إلى محافظ “coinbase” دون الخروج من العقد الذكي؛ لأن الصفقة ستفشل عند الوصول للمحفظة الأخيرة.
  4. كرر العملية حتى تحصل على ما يكفي من الإيثيريوم في محفظة “Coinbase” الخاصة بك.
  5. قم بمبادلة رصيدك ثم انقله إلى محفظة خارجية.

لو لاحظ المستخدمون وجود خلل ما، لكان بإمكانهم تحويل أنفسهم إلى مليارديرات عملات رقمية بين ليلة وضحاها، ولكن تم حل المشكلة بعد تغيير فريق معالجة العقود الذكية، وزعمت شركة VI وجود خسائر “عرضية” لـ “Coinbase”، وأضافت أنه لم تكن هناك محاولات لاستغلال الثغرة الأمنية، وفي وقت لاحق، شكر المدراء التنفيذيون لـ”Coinbase” نظراءهم في شركة VI، بإرسال مكافأة قدرها 10000 دولار مقابل مجهوداتهم.

وعلى الرغم من أن هذه الحالات تعتبر نادرة، فإنها تحدث من حين لآخر، ففي فبراير 2018 تم الكشف عن خلل في محفظة “Zaif” الأكثر شعبية في اليابان، الذي سمح للمستخدمين بشراء البيتكوين من خلال نظامهم دون مقابل، وهو الأمر الذي أثار جدلًا شديدًا، وادعى ممثلو الشركة أن الخطأ وقع في “نظام حساب الأسعار”، وأنه قد تم تسجيل سبع عمليات شراء المستخدمين للـ”بيتكوين” مقابل صفر “ين”، وأُلغيت ستة من هذه المعاملات في وقت لاحق.

وأجرت “Tech Bureau Corp”، الشركة الأم لـ”Zaif“، عدة مراجعات في الشهر الماضي، بعد أن ادعى المراقبون أنها كانت عُرضة للهجمات الإلكترونية، واعتذرت المنصة، في وقت لاحق، للمستخدمين قائلة: إن المشكلة لن تؤثر على مبالغ العملاء الأفراد، وتُعد “Zaif” واحدة من عدد قليل من منصات تداول العملات الرقمية المسجلة حاليا لدى الحكومة اليابانية.

إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.