Randstorm: محافظ العملات المشفرة المعرضة للاختراق من العقد الأول للقرن الحادي والعشرين

قد تكون محافظ “بيتكوين” التي تم إنشاؤها على منصات الإنترنت بين عامي 2011 و2015 غير آمنة بسبب وجود ثغرة أمنية في المكتبة الخاصة بتوليد المفاتيح.

قد تكون محافظ

اكتشف الباحثون العديد من الثغرات الأمنية في مكتبة BitcoinJS التي يمكن أن تجعل محافظ “بيتكوين” التي تم إنشاؤها على الإنترنت قبل عقد من الزمان عرضة للقرصنة. وتكمن المشكلة الأساسية في أن المفاتيح الخاصة لمحافظ العملات المشفرة هذه تم توليدها مع إمكانية توقع أكبر بكثير مما توقعه مطورو المكتبة.

الثغرات الأمنية في Randstorm ونتائجها

لنبدأ من البداية. اكتشف الباحثون في Unciphered، وهي شركة متخصصة في استرداد الوصول إلى محافظ العملات المشفرة، ووصفوا عددًا من الثغرات الأمنية في مكتبة BitcoinJS JavaScript التي تستخدمها العديد من منصات العملات المشفرة عبر الإنترنت. وكان من بين هذه الخدمات بعض الخدمات الشهيرة جدًا، على وجه الخصوص، Blockchain.info، المعروفة الآن باسم Blockchain.com. وأطلق الباحثون على هذه المجموعة من الثغرات اسم Randstorm.

على الرغم من أن الثغرات الأمنية في مكتبة BitcoinJS نفسها تم إصلاحها في عام 2014، إلا أن المشكلة تمتد إلى نتائج استخدام هذه المكتبة: قد تكون محافظ العملات المشفرة التي تم إنشاؤها باستخدام BitcoinJS في أوائل عام 2010 غير آمنة – بمعنى أنه من الأسهل بكثير العثور على مفاتيحها الخاصة مما يفترضه تشفير بيتكوين الأساسي.

يُقدّر الباحثون أن عدة ملايين من المحافظ، التي يبلغ مجموعها حوالي 1.4 مليون بيتكوين، من المحتمل أن تكون معرضة للخطر بسبب ثغرة Randstorm. ومن بين المحافظ التي يحتمل أن تكون عرضة للخطر، وفقًا للباحثين، فإن نسبة 3-5% منها في الواقع عرضة لهجمات حقيقية. واستنادًا إلى سعر صرف “بيتكوين” التقريبي الذي يبلغ حوالي 36500 دولار في وقت نشر هذه المقالة، فإن هذا يعني أن إجمالي المال المنهوب الذي قد يحققه المهاجمون الذين يمكنهم استغلال ثغرة Randstorm بنجاح بين 1.5 إلى 2.5 مليار دولار.

يدعي الباحثون أنه يمكن بالفعل استخدام ثغرات Randstorm لشن هجمات حقيقية على محافظ العملات المشفرة. والأكثر من ذلك، أنهم نجحوا في استغلال هذه الثغرات الأمنية لاستعادة الوصول إلى العديد من محافظ العملات المشفرة التي تم إنشاؤها على Blockchain.info قبل مارس 2012. ولأسباب أخلاقية، لم ينشروا إثباتًا لمفهوم الهجوم، لأن هذا من شأنه أن يعرض عشرات الآلاف من محافظ العملات المشفرة بشكل مباشر لخطر السرقة.

اتصل الباحثون بالفعل بخدمات العملات المشفرة عبر الإنترنت المعروف أنها تستخدم إصدارات ضعيفة من مكتبة BitcoinJS. وبدورها، أخطرت هذه الخدمات العملاء الذين من المحتمل أن يتأثروا بثغرة Randstorm.

طبيعة ثغرات Randstorm

دعونا ننظر بمزيد من التفصيل في كيفية عمل هذه الثغرات الأمنية بالفعل. يوجد المفتاح الخاص في قلب أمان محفظة “بيتكوين”. ومثل أي نظام تشفير حديث، تعتمد “بيتكوين” على أن هذا المفتاح سري وغير قابل للاختراق. ومرة أخرى، كما هو الحال في أي نظام تشفير حديث، يتضمن هذا استخدام أرقام عشوائية طويلة جدًا.

ولأمان أي بيانات محمية بواسطة المفتاح الخاص، يجب أن تكون هذه الأرقام عشوائية قدر الإمكان. وإذا كان الرقم المستخدم كمفتاح يمكن التنبؤ به بدرجة كبيرة، فهذا يجعل تخمين الرقم أسهل وأسرع على المهاجم المسلح بمعلومات عن إجراء توليد المفتاح.

ضع في اعتبارك أن إنشاء رقم عشوائي حقًا ليس بالأمر السهل. أيضًا، أجهزة الكمبيوتر بطبيعتها غير مناسبة على الإطلاق لهذه المهمة لأنها يمكن التنبؤ بها بشكل كبير. لذلك، فإن ما لدينا عادة هو أرقام شبه عشوائية، ولزيادة مقياس عشوائية التوليد (حديث التشفير عن مقياس عدم القدرة على التنبؤ) فنحن نعتمد على وظائف خاصة.

نعود الآن إلى مكتبة BitcoinJS. للحصول على أرقام شبه عشوائية “عالية الجودة”، تستخدم هذه المكتبة مكتبة JavaScript أخرى تسمى JSBN (JavaScript Big Number)، وتحديدًا وظيفة SecureRandom فيها. وكما يوحي اسمها، تم تصميم هذه الوظيفة لإنشاء أرقام شبه عشوائية مؤهلة للاستخدام في التشفير. ولزيادة مقياس عشوائيتها، تعتمد وظيفة SecureRandom على وظيفة المستعرض window.crypto.random.

هنا تكمن المشكلة: على الرغم من وجود وظيفة window.crypto.random في عائلة مستعرض Netscape Navigator 4.x، إلا أن هذه المستعرضات كانت قديمة بالفعل عندما بدأت خدمات الويب في استخدام مكتبة BitcoinJS بشكل نشط. وفي المستعرضات الشائعة في تلك الأيام – Internet Explorer وGoogle Chrome وMozilla Firefox وApple Safari – لم يتم تنفيذ وظيفة window.crypto.random ببساطة.

للأسف، فشل مطورو مكتبة JSBN في توفير أي نوع من الفحص أو رسالة الخطأ المقابلة. ونتيجة لذلك، تجاوزت وظيفة SecureRandom خطوة زيادة المقياس العشوائي في صمت، لتسلم بفعالية مهمة إنشاء مفاتيح خاصة لمولد الأرقام شبه العشوائية القياسي، Math.random.

وهذا أمر سيئ في حد ذاته لأن Math.random لم يتم تخصيصه لأغراض التشفير. لكن الوضع يزداد غموضًا بسبب حقيقة أن تنفيذ Math.random في المستعرضات الشائعة في الفترة من 2011 إلى 2015، خاصة Google Chrome، يحتوي على أخطاء أدت إلى أرقام عشوائية أقل مما ينبغي.

بدورها، ورثت مكتبة BitcoinJS جميع المشكلات المذكورة أعلاه من JSBN. ونتيجة لذلك، حصلت المنصات التي استخدمتها لإنشاء مفاتيح خاصة لمحافظ العملات المشفرة على أرقام عشوائية أقل بكثير من وظيفة SecureRandom عما توقعه مطورو المكتبة. ونظرًا لأن هذه المفاتيح يتم توليدها بقدرة تنبؤ كبيرة، فمن الأسهل بكثير استخدام التخمين، مما يسمح بقرصنة محافظ العملات المشفرة الضعيفة.

وكما ذكرنا أعلاه، لا يعد هذا خطرًا نظريًا، لكنه خطر عملي تمامًا، حيث تمكن فريق Unciphered من استغلال هذه الثغرات الأمنية لاستعادة الوصول ((أو بعبارة أخرى، اختراق أخلاقي) إلى العديد من محافظ العملات المشفرة القديمة التي تم إنشاؤها على Blockchain.info.

من الأشخاص المعرضين لخطر Randstorm

استخدمت BitcoinJS مكتبة JSBN الضعيفة منذ طرحها في عام 2011 حتى عام 2014. ومع ذلك، لاحظ أن بعض مشاريع العملات المشفرة ربما كانت تستخدم إصدارًا أقل من أحدث إصدار من المكتبة لبعض الوقت. أما بالنسبة للأخطاء التي تعاني منها وظيفة Math.random في المستعرضات الشائعة، فقد تم إصلاحها بحلول عام 2016 عن طريق تغيير الخوارزميات الخاصة بتوليد أرقام شبه عشوائية. يقدم هذا معًا إطارًا زمنيًا تقريبيًا للفترة من 2011 إلى 2015 وهو الوقت الذي تم خلاله إنشاء محافظ عملات مشفرة يحتمل أن تكون معرضة للخطر.

يؤكد الباحثون على أن BitcoinJS كانت تحظى بشعبية كبيرة في أوائل عام 2010، لذلك من الصعب تجميع قائمة كاملة من الخدمات التي كان من الممكن أن تستخدم نسخة ضعيفة منها. ويقدم تقريرهم قائمة بالمنصات التي تمكنوا من تحديدها كمنصات معرضة للخطر:

  • BitAddress – لا تزال يعمل.
  • BitCore (BitPay) — لا تزال تعمل.
  • Bitgo – لا تزال تعمل.
  • info – لا لا تزال تعمل باسم Blockchain.com.
  • Blocktrail — تعيد التوجيه إلى https://btc.com أو https://blockchair.com .
  • BrainWallet – توقفت عن العمل.
  • CoinKite – تبيع الآن محافظ أجهزة.
  • CoinPunk – توقفت عن العمل.
  • Dark Wallet — تعيد التوجيه إلى https://crypto-engine.org .
  • DecentralBank – توقفت عن العمل.
  • info (Block.io) – لا تزال تعمل.
  • EI8HT – توقفت عن العمل.
  • GreenAddress – تعيد التوجيه إلى https://blockstream.com/green/ .
  • QuickCon – توقفت عن العمل.
  • Robocoin – توقفت عن العمل.
  • Skyhook ATM – تعيد التوجيه إلى https://yuan-pay-group.net .

إلى جانب محافظ بيتكوين، قد تكون محافظ لايتكوين وزيكاش ودوجكوين معرضة للخطر أيضًا، نظرًا لوجود مكتبات تعتمد على BitcoinJS لهذه العملات المشفرة أيضًا. ويبدو من الطبيعي أن نفترض أنه يمكن استخدام هذه المكتبات لإنشاء مفاتيح خاصة لمحافظ العملات المشفرة المعنية.

يصف تقرير Unciphered مجموعة من التعقيدات الأخرى المرتبطة بثغرة Randstorm. لكن الأمر برمته يتلخص في أن المحافظ التي تم إنشاؤها بين عامي 2011 و2015 باستخدام المكتبة الضعيفة قد تكون عرضة للخطر بدرجات متفاوتة، اعتمادًا على الظروف الخاصة.

كيفية الحماية من ثغرة Randstorm

وفقًا لما ذكره الباحثون أنفسهم، فإن هذا ليس هو الحال عندما يكون إصلاح الثغرة الأمنية في البرنامج كافيًا: إذ إن “تصحيح” المفاتيح الخاصة لأصحاب المحفظة واستبدالها بمفاتيح آمنة ليس بالأمر الممكن. لذا، على الرغم من أنه تم إصلاح الأخطاء منذ فترة طويلة، إلا أنها تستمر في التأثير على محافظ العملات المشفرة التي تم إنشاؤها عندما أصيبت مكتبة BitcoinJS بالأخطاء المذكورة أعلاه. وهذا يعني أن أصحاب المحافظ الضعيفة أنفسهم بحاجة إلى اتخاذ تدابير وقائية.

نظرًا لأن مهمة إعداد قائمة كاملة بمنصات العملات المشفرة التي تستخدم المكتبة الضعيفة أمر صعب، فمن الأفضل أن تحرص على الأمان وأن تعتبر أي محفظة عملات مشفرة تم إنشاؤها عبر الإنترنت بين عامي 2011 و2015 غير آمنة (ما لم تكن متأكدًا من أنها ليست كذلك). وبطبيعة الحال، كلما كانت المحفظة تحتوي على عملات أكثر، كلما كانت أكثر إغراءً للمجرمين.

يتمثل الحل الواضح (والوحيد) للمشكلة في إنشاء محافظ عملات رقمية جديدة وتحويل كل الأموال من المحافظ التي قد تكون عرضة للاختراق إليها.

وبما أنه يتعين عليك فعل ذلك على أي حال، فمن المنطقي المضي قدمًا بأقصى قدر من الحذر هذه المرة. وتعد حماية التشفير عملية متعددة الخطوات، ولهذا السبب جمعنا قائمة مرجعية شاملة لك تتضمن قدرًا كبيرًا من المعلومات الإضافية التي يمكن الوصول إليها من خلال الروابط:

  1. استكشف بالتفصيل التهديدات الموجهة للعملات المشفرة وطرق الحماية الرئيسية.
  2. افهم الاختلافات بين محافظ العملات المشفرة المتصلة بالإنترنت غير المتصلة بالإنترنت والطرق الأكثر شيوعًا لمهاجمتها.
  3. استخدم محفظة أجهزة (غير متصلة بالإنترنت) للتخزين طويل الأجل لأصول العملات المشفرة الأساسية، ومحفظة متصلة بالإنترنت تحتوي على الحد الأدنى من الأموال للمعاملات اليومية.
  4. قبل تحويل جميع الأموال من المحفظة القديمة إلى الجديدة، جهز جميع أجهزتكبالحماية الموثوقة. وسوف يحمي هاتفك الذكي أو الكمبيوتر الخاص بك من فيروسات حصان طروادة التي تسعى إلى سرقة كلمات المرور والمفاتيح الخاصة أو البرامج الضارة التي تسرق النص من الحافظة التي تستبدل عناوين المحفظة المشفرة في الحافظة، بالإضافة إلى حماية الكمبيوتر الخاص بك من أدوات تعدين العملات المشفرة الخبيثة والوصول غير المصرح به عن بعد.
  5. تجنب دائمًا تخزين صورة أو لقطة شاشة لعبارة الاسترداد على هاتفك الذكي، ولا تنشر عبارة الاسترداد في الخدمات السحابية العامة، ولا ترسلها أبدًا عبر برامج المراسلة أو البريد الإلكتروني ولا تدخلها في أي مكان إلا عند استعادة مفتاح خاص مفقود.
  6. خزّن مفتاحك الخاص بشكل آمن وعبارة الاسترداد لاستعادته. ويمكن فعل ذلك باستخدام محفظة حماية الهوية فيKaspersky Premium، التي تشفر جميع البيانات المخزنة باستخدام نظام التشفير AES-256. ولا يتم تخزين كلمة المرور الخاصة بها في أي مكان باستثناء رأسك (ما لم تكن، بالطبع، تدونها على ملاحظة لاصقة مثبتة على شاشتك) ولا يمكن استردادها، لذا فإن الشخص الوحيد الذي يمكنه الوصول إلى مستنداتك الشخصية هو أنت.
  7. يوجد خيار آخر وهو استخدام محفظة عملات مشفرة غير متصلة بالإنترنت، والتي لا تتطلب عبارة استرداد لإجراء نسخ احتياطي للمفتاح الخاص. وهذه هي الطريقة التي تعمل بها، على سبيل المثال، محفظة الجهاز المعروفة باسم Tangem.
النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!