تم الكشف عن ثغرة أمنية تسمح بالإنفاق المزدوج لعملة Bitcoin في محافظ العملات الرقمية الرئيسية

كشف باحث في مجال تقنية البلوك تشين لدى شركة ZenGo الناشئة والمتخصصة في محافظ العملات الرقمية ومقرها تل أبيب، عن ثغرة أمنية في محافظ العملات الرقمية الرئيسية، قد تؤدي إلى Bitcoin إنفاق مزدوج لعملة . وقد تم إبلاغ معظم مزودي هذه المحافظ، واتخذوا بدورهم إجراءات لمنع حدوث مثل هذه الحالات.

يستغل المهاجمون وظيفة RBF لإنفاق Bitcoin مرتين

تستغل Bitcoinبوظيفة RBF (الاستبدال بالرسوم) في Bitcoin باستخدام أموال الضحايا، مما يمنعهم في نهاية المطاف من استخدام محافظهم المتأثرة مجدداً. وصرح أورييل أوهيون، الرئيس التنفيذي لشركة ZenGo: "يمكن اعتبار هذا هجوماً بالغ الخطورة". ثغرة "BigSpender" المعروفة . وباستخدام هذه الثغرة، يستطيع المهاجمون التسبب في إنفاق مزدوج لعملة

باختصار، تم اعتماد وظيفة RBF كوسيلة Bitcoin لتجاوز فترة التأكيد الطويلة من خلال تمكينهم من دفع رسوم معاملات أعلى. ورغم تحقيقها لهدفها في تقليل وقت التأكيد الطويل، إلا أن هناك مخاوف من أنها قد تسبب مشاكل لأن Bitcoin لا تدعمها بشكل كامل.

بحسب بيتر تود، أحد مطوري Bitcoin ، فإن هجوم الإنفاق المزدوج Bitcoin يستغل طريقة تعامل محافظ العملات الرقمية مع BitcoinRBF. يقوم المهاجمون عمداً بإجراء معاملة bitcoin برسوم منخفضة لتجنب التأكيد السريع، ثم يلغون المعاملة المعلقة لاحقاً.

محافظ العملات الرقمية تُحدّث أنظمتها لمواجهة برنامج "BigSpender"

في محافظ العملات الرقمية المعرضة للاختراق، تُضاف قيمة المعاملة إلى حساب الضحية، بينما يكون المهاجم قد ألغى العملية بالفعل. وبحسب التقارير، وُجدت ثلاث محافظ رئيسية من أصل تسع عرضة لهذا الهجوم، الذي قد يؤدي إلى إنفاق مزدوج Bitcoin . وتشمل هذه المحافظ: Breadwallet (BRD) وEdge وLedger Live. يقول أوهيون:

لم نختبر جميع المحافظ، ولكن من المحتمل أنه إذا تورطت ثلاث من أكبر المحافظ، فهناك المزيد منها متورط أيضًا.

وبحسب التقرير، قامت كل من BRD و Ledger بتحديث أكواد جديدة لتجنب هجوم الإنفاق المزدوج، بينما تخضع محفظة Edge لعملية "إعادة هيكلة كبيرة" لمنع مثل هذا الهجوم أيضًا.