كشفت الكشفيات الأخيرة من قبل شركة أمان المعلومات، Unciphered، عن ثغرة في محفظة تم اكتشافها منذ عقد من الزمن قد تعرض مبلغ 2.1 مليار دولار من العملات المشفرة للخطر. تؤثر هذه الثغرة على محافظ الويب التي تم إنشاؤها بين عامي 2011 و 2015 وتمتد عبر شبكات متعددة، بما في ذلك البيتكوين (BTC)، دوجكوين (DOGE)، لايتكوين (LTC)، وزكاش (ZEC).
الكشف عن ثغرة محفظة العملات المشفرة
اكتشفت شركة Unciphered هذه الثغرة في المحفظة أثناء محاولتها استعادة 600،000 دولار في البيتكوين (BTC) لأحد المستثمرين المبكرين، نيك سوليفان، الذي فقد وصوله إلى محفظته. كان سوليفان قد أنشأ محفظته للبيتكوين في عام 2014 باستخدام Blockchain.info (الآن Blockchain.com) وفقد لاحقًا وصوله إلى عملاته بعد مسح ذاكرة جهاز الكمبيوتر الخاص به دون حفظ مفتاح محفظته الخاص.
خلال تحقيقهم، اكتشفت Unciphered أن الكود الذي استخدمته Blockchain.info لإنشاء مفاتيح المحافظ العشوائية، المعروفة باسم BitcoinJS، لم يجعل جميع محافظها عشوائية بما فيه الكفاية، مما يجعلها عرضة للهجمات. تمتد هذه الثغرة أيضًا إلى Dogecoin.info، الذي استخدم نفس BitcoinJS، مما يعرض مستخدمي دوجكوين القدامى لنفس المخاطر.
مدى ثغرة المحفظة
وفقًا لشركة Unciphered، تحتفظ المحافظ التي تم إنشاؤها قبل مارس 2012 بما يقدر بحوالي 100 مليون دولار من الأصول التي يمكن اختراقها بسهولة من قبل مستخدم كمبيوتر منزلي. علاوة على ذلك، يتم حفظ مبلغ آخر قدره 50 مليار دولار في المحافظ التي تم إنشاؤها بين ذلك الحين وحتى عام 2015، حيث يتعرض على الأقل 500 مليون دولار للهجمات.
على الرغم من أن علماء الكلمات السرية حددوا عيوبًا في عشوائية إنشاء المحافظ في عام 2014 وقد حسنوا أساليبهم منذ ذلك الحين، إلا أن Unciphered لم تجد أي محافظ تم إنشاؤها بعد عام 2016 تعاني من عيوب في العشوائية.
تنبيه الضحايا
اتخذت Unciphered خطوة الكشف العلني عن هذه الثغرة، ولكن ليس قبل أن تنبه مستخدمين متضررين لعدة أشهر حول الخطر الذي تشكله أصولهم. كان التحدي هو إقناع ملايين الضحايا بنقل أموالهم دون إيقاف المتسللين المحتملين عن الثغرة.
تم التواصل مع Blockchain.com، أكبر موقع مسؤول عن إنشاء محافظ مثل هذه، من قبل Unciphered لتنبيه المستخدمين المتضررين بشكل خفي. أرسلت Blockchain.com رسائل بريد إلكتروني إلى أكثر من 1.1 مليون حائز على محفظة متضررة ووجدت طريقة لتحديث محافظ أي شخص قام بزيارة موقعها بشكل تلقائي.
ومع ذلك، لم يتم تنبيه العديد من المستخدمين المتضررين مباشرة نظرًا لأن المواقع التي استخدموها لإنشاء محافظهم لم تعد تعمل.
بالنسبة لأولئك الذين يشعرون بقلق بشأن أمان محافظهم، تقدم منصات مثل cryptoview.io رؤية شاملة لمحفظتك من العملات المشفرة، مما يتيح لك مراقبة أصولك والبقاء على اطلاع حول الثغرات المحتملة.
