SlowMist identثغرة أمنية قد تكشف المفاتيح الخاصة

dentشركة SlowMist المتخصصة في أمن تقنية البلوك تشين ثغرة أمنية في مكتبة تشفير جافا سكريبت واسعة الاستخدام، والتي يمكن أن تعرض المفاتيح الخاصة للمستخدمين للمهاجمين.

يؤثر الخلل الأمني ​​على مكتبة "elliptic" الشهيرة التي توفر وظائف تشفير المنحنى الإهليلجي للعديد من محافظ العملات المشفرة وأنظمةdentوتطبيقات Web3.

بحسب تحليل، تكمن الثغرة الأمنية في معالجة المكتبة الخاطئة للمدخلات غير القياسية أثناء عمليات التوقيع. قد يؤدي هذا إلى تكرار الأرقام العشوائية في توقيعات ECDSA. ولأن أمان هذه التوقيعات يعتمد كلياً على تفرد هذه القيم العشوائية، فإن أي تكرار منها يُمكّن المهاجمين منmaticاستنتاج المفتاح الخاص

تسمح الثغرة الأمنيةtracالمفتاح الخاص بأقل قدر من التفاعل

يكمن سبب هذا الخلل في طريقة توليد مكتبة التشفير الإهليلجية لما يسميه خبراء التشفير "قيمة k". وهي عبارة عن رقم عشوائي لا ينبغي إعادة استخدامه في توقيعات مختلفة. يكشف تحليل SlowMist أن المهاجمين قادرون على صياغة مدخلات محددة لخداع المكتبة وحملها على إعادة استخدام هذه القيمة. ويوضح تقرير SlowMist: "عند توليد قيمة k، يُستخدم المفتاح الخاص والرسالة كبذرة لضمان التفرد في مختلف المدخلات".

تُشكّل هذه الثغرة ثغرة خطيرة في النظام، إذ لا تتطلب سوى تفاعل بسيط مع الضحايا. يكفي المهاجم ملاحظة توقيع شرعي واحد، ثم خداع الضحية لتوقيع رسالة مُصممة خصيصًا. وبمقارنة هذين التوقيعين، يستطيع المهاجم استنتاج المفتاح الخاص للضحيةmaticباستخدام معادلة بسيطة نسبيًا.

إن الانتشار الواسع لتقنية Web3 يعرض العديد من تطبيقات Web3 للخطر

إن استخدام مكتبة المنحنيات الإهليلجية من قبل مجتمع جافا سكريبت يزيد من احتمالية تفاقم هذه الثغرة الأمنية. وتشير شركة SlowMist إلى أن هذه الثغرة موجودة في جميع الإصدارات حتى 6.6.0، وتؤثر على التطبيقات التي تستخدم منحنيات إهليلجية متنوعة.

أي تطبيق يستخدم توقيعات ECDSA على مدخلات خارجية معرض للخطر. قد يشمل ذلك محافظ العملات المشفرة، وتطبيقات التمويل اللامركزي، NFT على Web3dent.

يُشكل استخدام المكتبات في مجال العملات الرقمية ثغرةً أمنيةً. ففي حال اختراق المفتاح الخاص، يُصبح بإمكان المهاجمين السيطرة الكاملة على الأصول المرتبطة به. ويستطيع المخترقون إجراء تحويلات غير مصرح بها، أو تغيير سجلات الملكية، أو انتحال شخصيات المستخدمين في التطبيقات اللامركزية.

نشرت شركة SlowMist أيضًا بعض الاقتراحات العاجلة للمستخدمين والمطورين للتخفيف من حدة التهديد الأمني. ينبغي على المطورين أولًا تحديث مكتبة elliptic إلى الإصدار 6.6.1 أو أحدث، حيث تم معالجة الثغرة الأمنية رسميًا في أحدث إصدار.

إلى جانب تحديث المكتبة، توصي SlowMist المطورين بتضمين إجراءات أمنية إضافية في تطبيقاتهم. أما بالنسبة لمستخدمي التطبيقات المتأثرة، فإنّ أكبر مخاوفهم تكمن في احتمال تعرض مفاتيحهم الخاصة للخطر. لذا، تنصح SlowMist المستخدمين الذين ربما وقّعوا رسائل ضارة أو مجهولة المصدر باتخاذ إجراء احترازي يتمثل في استبدال مفاتيحهم الخاصة.

تراجعت هجمات التصيد الاحتيالي مع بروز الثغرات التقنية كعنصر أساسي

على الرغم من أن اكتشاف SlowMist يشير إلى تهديدات ناتجة عن ثغرات تقنية، إلا أن بيانات Scam Sniffer تُظهر هجمات التصيد الاحتيالي لثلاثة أشهر متتالية. ففي فبراير 2025، بلغت الخسائر 5.32 مليون دولار أمريكي نتيجةً لـ 7442 ضحية. ويمثل هذا انخفاضًا بنسبة 48% عن خسائر يناير البالغة 10.25 مليون دولار أمريكي، وانخفاضًا بنسبة 77% عن خسائر ديسمبر البالغة 23.58 مليون دولار أمريكي.

🧵 [1/4] 🚨 تقرير التصيد الاحتيالي لشهر فبراير 2025 من ScamSniffer

خسائر فبراير: 5.32 مليون دولار | 7,442 ضحية.
خسائر يناير: 10.25 مليون دولار | 9,220 ضحية
(-48% مقارنة بالشهر السابق). pic.twitter.com/HsZZSlYKJC

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 5 مارس 2025

على الرغم من وضوح هذا التراجع، لا تزال بعض أساليب الهجوم فعّالة للغاية. فقد أسفرت هجمات السماح، التي يقوم فيها المخترقون بإنشاء عناوين محافظ لا يمكن تمييزها بصريًا عن العناوين الشرعية، عن أكبر خسارة فردية بلغت 771,000 دولار أمريكي من عملة الإيثيريوم.

جاءت الهجمات القائمة على التصاريح في المرتبة الثانية بخسائر بلغت 611 ألف دولار، تلتها الموافقات غير الملغاة على عمليات التصيد الاحتيالي على منصة BSC بقيمة 610 آلاف دولار من الأموال المختلسة. واختتمت ثغرات استغلال ثغرات IncreaseApproval قائمة أبرز أنواع الهجمات بخسائر بلغت 326 ألف دولار من عملة الإيثيريوم.