خطأ حرج في سجل XRP في تعديل الدُفعة قد يكون قد أدى إلى تصريف محافظ المستخدمين - U.Today

تمت في هذا الشهر تجنب خلل منطقي خطير في قاعدة شفرة XRP Ledger (XRPL)، وفقًا لمنشور مدونة حديث.

اكتشف باحثو الأمان ثغرة كانت قد تسمح للمهاجمين بسحب محافظ المستخدمين دون الحاجة إلى مفاتيحهم الخاصة.

تم تحديد الخطأ، الذي وُجد في التعديل المقترح “Batch” (XLS-56)، في بداية هذا الشهر بواسطة الباحث المستقل براناميا كيشكامات وأداة أمان ذكاء اصطناعي مستقلة تُدعى Apex.

أخبار ساخنة

ثغرة حرجة في XRP Ledger في تعديل Batch كانت ستؤدي إلى سحب محافظ المستخدمين

مراجعة سوق العملات الرقمية: ضغط تقلبات XRP هو وصفة بقيمة 2 دولار، هل ستحدث إزالة DOGE (DOGE) للصفر في فبراير؟ هل من الممكن أن تتجه Shiba Inu (SHIB) نحو ارتفاعات جديدة بعد؟

كان التعديل لا يزال في مرحلة التصويت ولم يُفعّل بعد على الشبكة الرئيسية لـ XRPL. لذلك، لم تكن أموال المستخدمين في خطر أو مهددة.

شرح الثغرة

سيسمح تعديل Batch بتجميع عدة معاملات “داخلية” معًا.

هذه المعاملات الداخلية تُترك عمدًا غير موقعة لتوفير قوة المعالجة. بدلاً من ذلك، يُفوض التوقيع إلى قائمة الموقعين في الدفعة الخارجية.

تسبب خطأ حلقة حرج في وجود ثغرة كبيرة أثناء عملية استدعاء الموقعين.

إذا واجه النظام موقعًا لحساب غير موجود بعد على السجل، وكان مفتاح التوقيع يطابق ذلك الحساب الجديد، فإن النظام يعلن على الفور أن التحقق ناجح. ثم يخرج من الحلقة مبكرًا، متجنبًا فحوصات المدققين.

يمكن للمهاجم استغلال تسلسل معين من المعاملات المجمعة لاستغلال الثغرة المذكورة.

لو تم تفعيل تعديل Batch على الشبكة الرئيسية قبل اكتشاف هذه الثغرة، لكان نظام XRPL قد تعرض لضربة قوية. كان بإمكان المهاجم سرقة الأموال، وتعديل حالة السجل، وزعزعة استقرار النظام.

في وقت سابق من هذا الأسبوع، أصدر المطورون نسخة خادم Rippled 3.1.1 كإصلاح طارئ. يُحدد هذا التصحيح بشكل صريح أن تعديل Batch غير مدعوم.

تم تطوير إصلاح شامل يُزيل حلقة الخروج المبكر ويضيف حراس تفويض أكثر صرامة، وهو الآن يخضع لمراجعة دقيقة من قبل الأقران.