قد تسمح ثغرة أمنية في Cosmos SDK بشن هجمات DDoS

أعربت شركة "أوك سيكيوريتي" المتخصصة في أمن تقنية البلوك تشين عن مخاوفها بشأن ثغرة أمنية في حزمة تطوير البرمجيات (SDK) الخاصة بسلسلة Cosmos ، والتي قد تؤدي إلى هجوم حجب الخدمة الموزع (DDoS) على الشبكة. وفي منشور على منصة "ميديوم"، أوضح اثنان من باحثي الشركة، إدوارد كوتيش وكريستيان فاري، سبب كون هذه الثغرة خطراً جسيماً.

بحسب الباحثين، تكمن الثغرة الأمنية في أن دالتي BeginBlock و EndBlock لا تخضعان لرقابة استهلاك الطاقة. وهذا مقصود، إذ يتيح للمطورين بعض الوقت الحر للمعالجة، لأن هاتين الدالتين لا تؤثران بالضرورة على معاملات المستخدم.

مع ذلك، حذر خبراء الأمن من أن ما كان يُفترض أن يكون هامشًا بسيطًا للمطورين قد يُلحق ضررًا كبيرًا بالشبكات القائمة على منصة Cosmosبعدة طرق. تشمل هذه الطرق التسبب في ازدحام الشبكة، والتأثير على المدققين، أو حتى التسبب في انقطاع كامل للخدمة.

قالوا:

"قد تكون هذه الحرية سلاحاً ذا حدين، إذ يمكن أن تفتح باباً واسعاً من الثغرات الأمنية المحتملة. تكمن المشكلة الرئيسية في أنه بدون حدود للغاز، يمكن للبرمجيات الخبيثة أو غير المحسّنة بشكل جيد في وظيفتي BeginBlock و EndBlock أن تُحدث فوضى عارمة."

اختبر الباحثون نظرياتهم حول التأثير المحتمل لهذه الثغرة الأمنية من خلال إجراء تجارب. في إحدى هذه التجارب، أدخلوا تأخيرات عشوائية على دالة BeginBlock عند ارتفاعات كتل مختلفة، حيث تراوحت التأخيرات من خمس ثوانٍ إلى دقيقة واحدة.

أكد الخبراء من خلال التجارب أن التأخيرات أدت إلى ازدحام كبير في الشبكة، مما أبطأ تقدمها وزاد الوقت اللازم لإكمال الكتل. كما أثر ذلك على المدققين، حيث فشل العديد منهم في توقيع الكتل في الأوقات المطلوبة، وفاتت بعض مراحل التصويت تمامًا.

لم يكن من المستغرب أن العدد المحدود للمُدقّقين المتاحين لتوقيع المعاملات (أقل من ثلثي العدد) تسبب في انقطاعات مؤقتة في شبكة الاختبار. وأشار الباحثون إلى أن هذا قد يؤدي إلى انقطاع كامل في الشبكة الرئيسية نفسها، حيث تجري عدة معاملات في وقت واحد وتحتاج إلى إتمامها.

توصي شركة Oak Security بإجراء إصلاحات للمطورين

في غضون ذلك، أوصى خبراء الأمن بحلول لمعالجة الثغرة الأمنية قبل أن يستغلها أي مهاجم. ووفقًا لهم، ثمة حاجة لتطبيق حدود صارمة على العمليات الحسابية بحيث لا يستطيع أي شخص إضافة أي ثغرة هجومية تتسبب في استهلاك مفرط للموارد الحاسوبية.

لقدdentثلاث طرق مختلفة لتنفيذ هذا الحل. وتشمل هذه الطرق إضافة تعقيد زمني إلى دالتي BeginBlock و EndBlock حتى لا تستمر في العمل إلىdefiمسمى، وتغليف السياق للحفاظ على العمليات كثيفة الموارد ضمن سياقات محددة، والتحقق من صحة جميع المدخلات إلى الدالة.

بالإضافة إلى ذلك، دعوا إلى إجراء اختبارات ومحاكاة أكثر شمولاً لتحديد كيفية استغلال الثغرة الأمنية ومدى تأثيرها المحتمل.

كما قامواdentالضمانات المعمارية والمراقبة التشغيلية لضمان عمل الشبكات وفقًا للمعايير القياسية واكتشاف أي انحراف كبير.

أطلقت Cosmos SDK إصدارًا جديدًا

في غضون ذلك، لم يُعلّق فريق تطوير Cosmos SDK بعد على التقرير الأمني، ولم يُبدِ أي رد فعل تجاه هذه المشكلة. قد يعود ذلك إلى أن الثغرة الأمنيةdentهي في الواقع ميزة تصميمية وليست خللاً برمجياً أو برمجية خبيثة، على عكس التنبيهات الأمنية الأخيرة بشأن هجمات سلاسل التوريد.

لحسن الحظ، يمكن للمطورين الذين يستخدمون Cosmos SDK تنفيذ معظم توصيات خبراء الأمن، مما يتيح لهم التحكم فيما يقومون بنشره والتأكد من أنه ليس عرضة لهجمات DDoS.

ومن المثير للاهتمام أن Cosmos SDK قد أطلق مؤخرًا الإصدار v0.53.0. ووفقًا للإعلان على X، فإن هذا الإصدار هو استجابة للمشاكل التي أثارها المطورون بشأن الإصدار السابق.

يُقال إن الإصدار الأخير يتضمن معاملات غير مرتبة، وقدرات محسّنة لمجمعات العملات المجتمعية، وآليات حوكمة مخصصة، ونظام الفترات الزمنية، ونظام سك عملات مخصص. كما يتضمن إصلاحات للأخطاء، ويمكن للمطورين الترقية إليه الآن عبر منصة GitHub.

Cosmos SDK هي أداة للمطورين لبناء شبكتهم المخصصة بسهولة والتكامل مع سلسلة كتل Cosmos ، وهي شبكة تسعى لتصبح إنترنت سلاسل الكتل.