أعربت شركة أمن البلوكتشين أوك سكيورتي عن مخاوفها بشأن ثغرة في مجموعة تطوير البرمجيات لشبكة كوزموس (SDK) التي قد تؤدي إلى هجوم حجب الخدمة الموزع (DDoS) على الشبكة. في منشور على ميديام، أوضح اثنان من باحثي الشركة، إدوارد كوتيش وكريستيان فاري، لماذا يُعتبر هذا خطرًا كبيرًا.
وفقًا للباحثين، تكمن الثغرة في حقيقة أن دالة BeginBlock ودالة EndBlock غير خاضعتين لقياس الغاز. هذا مصمم عن عمد، حيث يتيح للمطورين الحصول على بعض الوقت المجاني للحساب، حيث إن هاتين الدالتين لا تؤثران بالضرورة على معاملات المستخدم.
ومع ذلك، حذر خبراء الأمن من أن ما كان من المفترض أن يكون هامشًا بسيطًا للمطورين قد يتسبب بالفعل في أضرار كبيرة لشبكات كوزموس بطرق عدة. تشمل هذه الأضرار التسبب في ازدحام الشبكة، وتأثيرها على المدققين، أو حتى التسبب في انقطاع كامل.
قالوا:
"هذه الحرية يمكن أن تكون سيفًا ذا حدين، ويمكن أن تفتح صندوق باندورا من الثغرات المحتملة. المشكلة الرئيسية هي أنه بدون حدود للغاز، يمكن أن يتسبب الكود غير المحسن بشكل جيد أو الضار في BeginBlock و EndBlock في فوضى حقيقية."
اختبر الباحثون نظرياتهم حول التأثير المحتمل للثغرة من خلال إجراء التجارب. في إحدى التجارب، قدموا تأخيرات عشوائية لوظيفة BeginBlock عند ارتفاعات كتل مختلفة، مع تأخيرات تتراوح من خمس ثوانٍ إلى دقيقة واحدة.
من التجارب، أكد الخبراء أن التأخيرات أدت إلى ازدحام كبير في الشبكة، مما أبطأ تقدمها وزاد من الوقت اللازم لإكمال الكتل. كما أثر ذلك على المدققين، حيث فشل العديد منهم في توقيع الكتل في الأوقات المطلوبة وافتقد البعض مراحل التصويت تمامًا.
ليس من المستغرب أن العدد المحدود من المدققين المتاحين لتوقيع المعاملات (أقل من ثلثين) أدى إلى تجربة السلسلة التجريبية لانقطاع مؤقت. وأشار الباحثون إلى أن هذا قد يؤدي إلى انقطاع كامل على الشبكة الرئيسية نفسها، حيث تحدث عدة معاملات في آن واحد تحتاج إلى إنهائها.
توفر Oak Security توصيات بالإصلاحات للمطورين
في غضون ذلك، أوصى خبراء الأمن بحلول لإصلاح الثغرة قبل أن يستغلها أحد الجهات السيئة. وفقًا لهم، هناك حاجة لتنفيذ قيود صارمة على الحوسبة حتى لا يتمكن أي شخص من إضافة أي متجه هجوم سيؤدي إلى حوسبة مفرطة.
حددوا ثلاث طرق مختلفة لتنفيذ هذا الحل. تشمل هذه الطرق إضافة تعقيد زمني إلى دوال BeginBlock و EndBlock بحيث لا تعمل بشكل غير محدود، وتغليف السياق للاحتفاظ بالعمليات التي تتطلب موارد كثيفة ضمن سياقات مقاسة، والتحقق من جميع المدخلات إلى الدالة.
بالإضافة إلى ذلك، دعوا إلى مزيد من الاختبارات الشاملة والمحاكاة لتحديد كيفية استغلال الثغرة وإمكانية تأثيرها.
كما قاموا بتحديد تدابير الحماية المعمارية والمراقبة التشغيلية لضمان عمل الشبكات وفقًا لمعايير قياسية واكتشاف أي انحرافات كبيرة.
تطلق Cosmos SDK إصدارًا جديدًا
في الوقت نفسه، لم تعلق Cosmos SDK بعد على تقرير الأمان وما إذا كانت ستقوم بأي إجراء لمعالجة المشكلة من جانبها. قد يكون ذلك لأن الثغرة المحددة هي في الواقع ميزة تصميم وليست خطأ أو برامج ضارة، مثل التنبيهات الأمنية الأخيرة حول هجمات سلسلة التوريد.
لحسن الحظ، يمكن للمطورين الذين يستخدمون Cosmos SDK تنفيذ معظم التوصيات من خبراء الأمن، مما يمكنهم من السيطرة على ما يقومون بنشره وضمان عدم تعرضه لهجمات DDoS.
من المثير للاهتمام أن Cosmos SDK أطلق مؤخرًا إصدار v0.53.0. وفقًا للإعلان على X، فإن هذا الإصدار هو استجابة للنقاط المؤلمة التي أشار إليها المطورون حول الإصدار السابق.
تشير التقارير إلى أن النسخة الأحدث تأتي مع معاملات غير مرتبة، وسعات محسّنة لمجمعات المجتمع، وآليات حوكمة مخصصة، وفترات زمنية، وصك مخصص. كما أنها تأتي مع إصلاحات للأخطاء، ويمكن للمطورين بالفعل الترقية إليها على GitHub.
Cosmos SDK هو أداة للمطورين لبناء شبكتهم المخصصة بسهولة والتكامل مع البلوكتشين Cosmos، وهي شبكة تسعى لتصبح إنترنت الكتل.
أكاديمية كريبتوبوليتان: هل تريد أن تنمي أموالك في 2025؟ تعلم كيف تفعل ذلك مع DeFi في صفنا الإلكتروني القادم. احجز مكانك
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
ثغرة أمنية في Cosmos SDK قد تسمح بهجمات DDoS
أعربت شركة أمن البلوكتشين أوك سكيورتي عن مخاوفها بشأن ثغرة في مجموعة تطوير البرمجيات لشبكة كوزموس (SDK) التي قد تؤدي إلى هجوم حجب الخدمة الموزع (DDoS) على الشبكة. في منشور على ميديام، أوضح اثنان من باحثي الشركة، إدوارد كوتيش وكريستيان فاري، لماذا يُعتبر هذا خطرًا كبيرًا.
وفقًا للباحثين، تكمن الثغرة في حقيقة أن دالة BeginBlock ودالة EndBlock غير خاضعتين لقياس الغاز. هذا مصمم عن عمد، حيث يتيح للمطورين الحصول على بعض الوقت المجاني للحساب، حيث إن هاتين الدالتين لا تؤثران بالضرورة على معاملات المستخدم.
ومع ذلك، حذر خبراء الأمن من أن ما كان من المفترض أن يكون هامشًا بسيطًا للمطورين قد يتسبب بالفعل في أضرار كبيرة لشبكات كوزموس بطرق عدة. تشمل هذه الأضرار التسبب في ازدحام الشبكة، وتأثيرها على المدققين، أو حتى التسبب في انقطاع كامل.
قالوا:
"هذه الحرية يمكن أن تكون سيفًا ذا حدين، ويمكن أن تفتح صندوق باندورا من الثغرات المحتملة. المشكلة الرئيسية هي أنه بدون حدود للغاز، يمكن أن يتسبب الكود غير المحسن بشكل جيد أو الضار في BeginBlock و EndBlock في فوضى حقيقية."
اختبر الباحثون نظرياتهم حول التأثير المحتمل للثغرة من خلال إجراء التجارب. في إحدى التجارب، قدموا تأخيرات عشوائية لوظيفة BeginBlock عند ارتفاعات كتل مختلفة، مع تأخيرات تتراوح من خمس ثوانٍ إلى دقيقة واحدة.
من التجارب، أكد الخبراء أن التأخيرات أدت إلى ازدحام كبير في الشبكة، مما أبطأ تقدمها وزاد من الوقت اللازم لإكمال الكتل. كما أثر ذلك على المدققين، حيث فشل العديد منهم في توقيع الكتل في الأوقات المطلوبة وافتقد البعض مراحل التصويت تمامًا.
ليس من المستغرب أن العدد المحدود من المدققين المتاحين لتوقيع المعاملات (أقل من ثلثين) أدى إلى تجربة السلسلة التجريبية لانقطاع مؤقت. وأشار الباحثون إلى أن هذا قد يؤدي إلى انقطاع كامل على الشبكة الرئيسية نفسها، حيث تحدث عدة معاملات في آن واحد تحتاج إلى إنهائها.
توفر Oak Security توصيات بالإصلاحات للمطورين
في غضون ذلك، أوصى خبراء الأمن بحلول لإصلاح الثغرة قبل أن يستغلها أحد الجهات السيئة. وفقًا لهم، هناك حاجة لتنفيذ قيود صارمة على الحوسبة حتى لا يتمكن أي شخص من إضافة أي متجه هجوم سيؤدي إلى حوسبة مفرطة.
حددوا ثلاث طرق مختلفة لتنفيذ هذا الحل. تشمل هذه الطرق إضافة تعقيد زمني إلى دوال BeginBlock و EndBlock بحيث لا تعمل بشكل غير محدود، وتغليف السياق للاحتفاظ بالعمليات التي تتطلب موارد كثيفة ضمن سياقات مقاسة، والتحقق من جميع المدخلات إلى الدالة.
بالإضافة إلى ذلك، دعوا إلى مزيد من الاختبارات الشاملة والمحاكاة لتحديد كيفية استغلال الثغرة وإمكانية تأثيرها.
كما قاموا بتحديد تدابير الحماية المعمارية والمراقبة التشغيلية لضمان عمل الشبكات وفقًا لمعايير قياسية واكتشاف أي انحرافات كبيرة.
تطلق Cosmos SDK إصدارًا جديدًا
في الوقت نفسه، لم تعلق Cosmos SDK بعد على تقرير الأمان وما إذا كانت ستقوم بأي إجراء لمعالجة المشكلة من جانبها. قد يكون ذلك لأن الثغرة المحددة هي في الواقع ميزة تصميم وليست خطأ أو برامج ضارة، مثل التنبيهات الأمنية الأخيرة حول هجمات سلسلة التوريد.
لحسن الحظ، يمكن للمطورين الذين يستخدمون Cosmos SDK تنفيذ معظم التوصيات من خبراء الأمن، مما يمكنهم من السيطرة على ما يقومون بنشره وضمان عدم تعرضه لهجمات DDoS.
من المثير للاهتمام أن Cosmos SDK أطلق مؤخرًا إصدار v0.53.0. وفقًا للإعلان على X، فإن هذا الإصدار هو استجابة للنقاط المؤلمة التي أشار إليها المطورون حول الإصدار السابق.
تشير التقارير إلى أن النسخة الأحدث تأتي مع معاملات غير مرتبة، وسعات محسّنة لمجمعات المجتمع، وآليات حوكمة مخصصة، وفترات زمنية، وصك مخصص. كما أنها تأتي مع إصلاحات للأخطاء، ويمكن للمطورين بالفعل الترقية إليها على GitHub.
Cosmos SDK هو أداة للمطورين لبناء شبكتهم المخصصة بسهولة والتكامل مع البلوكتشين Cosmos، وهي شبكة تسعى لتصبح إنترنت الكتل.
أكاديمية كريبتوبوليتان: هل تريد أن تنمي أموالك في 2025؟ تعلم كيف تفعل ذلك مع DeFi في صفنا الإلكتروني القادم. احجز مكانك