6٪ من عقد بيتكوين تستخدم برامج قديمة عرضة للاستغلال – تعرف على التفاصيل

قام مطورو Bitcoin Core تاريخيًا بالإعلان عن 10 ثغرات فقط تؤثر على الإصدارات القديمة من البرامج، وفقًا لتقرير Bitcoin Optech. تم إصلاح هذه الثغرات في إصدارات أحدث، وكان من الممكن أن تسمح لمختلف الهجمات على العقد التي تشغل إصدارات Bitcoin Core القديمة.

سياسة الإفصاح الأمني الجديدة

تكتسي هذه الثغرات أهمية كبيرة نظرًا لأن مطوري Bitcoin Core قدموا مؤخرًا سياسة إفصاح أمني جديدة لتحسين الشفافية والتواصل بشأن الثغرات. تاريخيًا، واجه المشروع انتقادات لعدم كفاية الإفصاح العام عن الأخطاء الأمنية الحيوية، مما أدى إلى تصور خاطئ بأن Bitcoin Core خالية من العيوب.

كتب مطور Libbitcoin إريك فوسكويل في رسالة إلى قائمة البريد لبيتكوين، أن هذا التصور مضلل وقد يكون خطيرًا، لأنه يقلل من تقدير المخاطر المترتبة على تشغيل إصدارات البرامج القديمة.

ثغرات العقد النشطة

قامت CryptoSlate بتحليل العقد النشطة لبيتكوين لتحديد عدد العقد التي لا تزال عرضة لكل نقطة ضعف. تقريبًا 787 (5.94%) من 14,001 عقدة تشغل إصدارات أقدم من 0.21.0.

هذا الرقم كبير بما يكفي ليُعتبر مشكلة قد يحتاج مجتمع بيتكوين لمعالجتها. يمكن بذل جهود لتشجيع مشغلي هذه العقد على الترقية إلى إصدارات أحدث لتعزيز الأمان والكفاءة والاستعداد المستقبلي لشبكة بيتكوين.

على الرغم من أنها ليست قضية حرجة في الوقت الحالي، إلا أنها بلا شك مصدر قلق يجب الانتباه إليه. إنها ليست تهديدًا وجوديًا لبيتكوين، حيث أن معظم الشبكة لا تزال تشغل برامج محدثة. ومع ذلك، فإنها تمثل جزءًا غير تافه من الشبكة يمكن أن يسبب مشاكل أو يتم استغلاله في ظل ظروف معينة. يشير هذا إلى الحاجة إلى تحسين التواصل والحوافز داخل مجتمع بيتكوين لتشجيع التحديثات الأكثر تكرارًا.

مخاطر العقد النشطة

وفقًا للإفصاح، الثغرة الأكثر انتشارًا أثرت في الإصدارات قبل 0.21.0، مما يمكن أن يؤثر على 787 عقدة. يمكن أن تمكن هذه الثغرة من فرض رقابة على المعاملات غير المؤكدة وتسبب انشقاقات الشبكة بسبب التعديلات الزمنية الزائدة.

• ثلاث ثغرات منفصلة أثرت في الإصدارات قبل 0.20.0، وتأثرت 182 عقدة بكل ثغرة. هذه تشمل هجوم الذاكرة عبر الرسائل الكبيرة، وهجوم استهلاك وحدة المعالجة المركزية بواسطة الطلبات المشوهة، وتعطل مرتبط بالذاكرة عند تحليل عناوين BIP72.
• ثغرة عامة في قائمة الحظر استهلاك وحدة المعالجة المركزية/الذاكرة (CVE-2020-14198) أثرت في الإصدارات قبل 0.20.1، مما يعرض 185 عقدة للخطر. كانت الإصدارات السابقة عرضة لهجمات أخرى، مثل هجوم استهلاك وحدة المعالجة المركزية وتوقف العقدة من التعامل مع الأيتام (قبل 0.18.0) مما يؤثر على 70 عقدة، وهجوم الذاكرة باستخدام رؤوس منخفضة الصعوبة (قبل 0.15.0) مما يؤثر على 29 عقدة.
• أقدم الثغرات المعلنة تضمنت خطأ لتشغيل التعليمات البرمجية عن بُعد في miniupnpc (CVE-2015-6031) الذي أثر على الإصدارات قبل 0.11.1 وتعطل العقدة عبر الرسائل الكبيرة (CVE-2015-3641) في الإصدارات قبل 0.10.1. هذه الثغرات أثرت على 22 و 5 عقد على التوالي، مما يشير إلى أن قلة جداً ما زالوا يشغلون مثل هذه البرمجيات القديمة.

سياسة الإفصاح الجديدة لمطوري بيتكوين

السياسة الجديدة تصنف الثغرات إلى أربعة مستويات من الخطورة: منخفضة، متوسطة، عالية، وحرجة. سيتم الكشف عن الأخطاء ذات الخطورة المنخفضة بعد أسبوعين من إصدار النسخة المحدثة، مع إعلان مسبق يتزامن مع الإطلاق. سيتم الكشف عن الأخطاء ذات الخطورة المتوسطة والعالية بعد أسبوعين من انتهاء فترة الدعم (EOL) للإصدار الأخير المتأثر، وعادة ما يكون ذلك بعد عام من إصدار النسخة المحدثة. سيتم الإعلان عن ثغرات الشبكة الحرجة بإجراء إفصاح فوري.

سيتم تنفيذ السياسة بشكل تدريجي. سيتم الإفصاح عن جميع الثغرات التي تم إصلاحها في إصدارات Bitcoin Core 0.21.0 وما قبلها فورًا. في يوليو، سيتم الإفصاح عن الثغرات التي تم إصلاحها في الإصدار 22.0، تليها تلك الثغرات التي تم إصلاحها في الإصدار 23.0 في أغسطس. ستستمر هذه العملية حتى يتم معالجة جميع الإصدارات المنتهية الدعم.

تهدف المبادرة إلى وضع توقعات واضحة للباحثين في مجال الأمن، مما يحفزهم على العثور على الثغرات والإفصاح عنها بشكل مسؤول. من خلال جعل الأخطاء الأمنية متاحة لمجموعة أوسع من المساهمين، تسعى السياسة إلى منع المشكلات المستقبلية وتعزيز الأمان الشامل لشبكة بيتكوين.

وفقًا لقائمة البريد لتطوير بيتكوين، فإن الاعتماد التدريجي للسياسة سيسمح للمجتمع بالتكيف وتقديم الملاحظات حول تأثيرها.

ننصح بشدة مشغلي العقد الذين لا يزالون يستخدمون الإصدارات المتأثرة بالترقية إلى الإصدار الأحدث لتخفيف هذه المخاطر المحتملة.