قام بعض خبراء الأمن السيبراني مؤخرا بكشف النقاب عن عدد من الثغرات الأمنية في المكتبات مفتوحة المصدر التي تستخدمها العديد من منصات تداول العملات الرقمية المشفرة والمؤسسات المالية والتي يمكن استغلالها من قبل القراصنة الذين يبحثون عن طريقة للوصول إلى المحافظ الرقمية الخاصة بالمستخدمين.
في مؤتمر الأمن السيبراني الذي عقدته شركة “Black Hat” مؤخرا، قال الخبراء إن بعض المشكلات التي أثرت على منصات التداول في وقت سابق تم حلها، بينما مازالت لم تحل ولم تُحدّث في بعض المنصات ما يعني أنها تمثل تهديدا لمستخدميها.
قام السيد “جان فيليب أوماسون” المؤسس المشارك لشركة “Taurus Group” لتكنولوجيا منصات تبادل العملات المشفرة، بتدوين نقاط الضعف التي اكتشفوها.
كما تم تصنيف الثغرات الأمنية التي اكتشفها “عمر شلوموفيتس”، الشريك المؤسس لشركة “ZenGo” المختصة في صناعة المحافظ الرقمية، إلى ثلاث فئات من الهجمات، حسب ما ذكر موقع Wired.
ومن هذه الثغرات الأمنية التي تشكل تهديد على محافظ العملات الرقمية الخاصة بمنصات التداول ما يلي:
النوع الأول من التهديد يُمكن المتسللين من استخدام شخص ما من داخل منصات التداول لاستغلال ثغرة أمنية في مكتبة مفتوحة المصدر، هذه المكتبة تم إنشاؤها بواسطة منصة رائدة في تداول العملات الرقمية لم يذكر الباحثون إسمها.
من خلال استخدام خلل في آلية المكتبة لتحديث المفاتيح، يمكن للقراصنة معالجة العملية مع تغيير المكونات الرئيسية وترك جميع المكونات الأخرى كما هي.
ونتيجة لذلك، يمكن للمهاجمين منع منصة التداول من الوصول إلى العملة المشفرة على نظامها الأساسي.
أبلغ الباحثون مطورو المكتبة بوجود الخلل بعد أسبوع واحد من اكتشافه.
ولكن نظرا لوجودها في مكتبة مفتوحة المصدر، فمن المحتمل أن منصات التداول الأخرى ربما لا تزال تستخدمها في عملياتها.
السيناريو الثاني ينطوي على إمكانية استغلال المتسللين لخلل في عملية تدوير المفاتيح.
هنا، قد يؤدي الفشل في التحقق من صحة جميع البيانات التي يصدرها المستخدمون والمنصات لبعضهم البعض إلى السماح للجهات الضارة باستخراج المفاتيح الخاصة بالمستخدمين عبر عمليات تحديث رئيسية متعددة، والاستيلاء على التحكم في أصول الكريبتو الخاصة بهم.
مرة أخرى، تم العثور على الخطأ في مكتبة مفتوحة المصدر طورتها إحدى الشركات الكبرى لم يكشف الباحثون عن اسمها أيضا.
أما الثغرة الأمنية الثالثة فيمكن بواسطتها القيام بهجمات تكون في العادة عندما يشتق الأطراف الموثوق بهم في الأصل مقاطع من مفتاح المصادقة، مما ينتج عنه أرقام عشوائية يتم التحقق منها علنا واختبارها لاستخدامها لاحقا.
وجد الباحثون أنه كجزء من هذه العملية، فشل بروتوكول في مكتبة مفتوحة المصدر طورتها منصة تبادل العملات الرقمية بينانس في التحقق من هذه الأرقام العشوائية.
يمكن أن تسمح هذه المشكلة لطرف ضار في إجراء توليد مفاتيح والاستفادة من الفشل في استخراج أجزاء أخرى من المفتاح الرسمي.
قامت بينانس بإصلاح هذا الخطأ في شهر مارس الماضي، عندما دعت مستخدميها للترقية إلى إصدار جديد من مكتبة “tss-lib”.
في الختام يمكن القول أن محافظ منصات التداول ليست آمنة 100% وعليه يمكن التوجه للتخزين في المحافظ الباردة خاصة لمن يحمل مبالغ كبيرة من العملات الرقمية أو يريد استثمار طويل المدى.
اقرأ أيضا:
إثنان من العملات الرقمية ارتفعت بأكثر من 5000٪ منذ بداية العام لغاية اللحظة
استرداد ما قيمته 300 ألف دولار من البيتكوين من ملف مضغوط قديم “Zip” بهذه الطريقة