باحث أمني Doyeon Park في 21 أبريل كشف علنًا عن وجود ثغرة يوم صفر عالية الخطورة بدرجة CVSS 7.1 في طبقة الإجماع لدى Cosmos ضمن CometBFT. قد تسمح هذه الثغرة بعقد نظيرة (peer) خبيثة بمهاجمة عقدة خلال مرحلة مزامنة الكتل (BlockSync) مما يؤدي إلى حالة توقف تام (deadlock)، مما يؤثر على شبكة تضمن أصولًا بقيمة تتجاوز 8 مليارات دولار.
المبدأ الفني للثغرة: عقدة خبيثة ترفع التقارير بشكل مبالغ فيه تؤدي إلى توقف تام لا نهائي
توجد الثغرة في آلية BlockSync لدى CometBFT. في الظروف العادية، عند الاتصال، تقوم العقد النظيرة بالإبلاغ عن ارتفاع الكتل الأحدث بشكل متزايد (latest). ومع ذلك، لا يتحقق الكود الحالي مما إذا كانت العقدة النظيرة قد أعلنت ارتفاعًا X أولًا ثم أعلنت ارتفاعًا أقل Y لاحقًا—على سبيل المثال إعلان 2000 ثم إعلان 1001. عندها، ستنتظر العقدة (A) ضمن عملية المزامنة إلى أجل غير مسمى حتى تلحق بارتفاع 2000، حتى لو انقطع الاتصال عن العقدة الخبيثة، ولن يُعاد حساب الارتفاع الهدف، مما يؤدي إلى توقف تام لا نهائي للعقدة، ويمنعها من إعادة الانضمام إلى الشبكة. الإصدارات المتأثرة هي <= v0.38.16 و v1.0.0، بينما الإصدارات التي تمت معالجتها هي v1.0.1 و v0.38.17.
فشل الإفصاح المنسق: خط زمني كامل لخفض CVE من قبل المورد
اتبع Park عملية الإفصاح المنسق عن الثغرات (CVD) القياسية، لكن في عدة مناسبات واجه تعثرًا: في 22 فبراير تم تقديم أول تقرير، وطالب المورد بإرسال ذلك على شكل GitHub issue علني لكن رفض الإفصاح العلني؛ في 4 مارس وُسم التقرير الثاني من قبل HackerOne بأنه بريد مزعج؛ في 6 مارس قام المورد بخفض شدة الثغرة من «متوسطة/عالية» تلقائيًا إلى «معلوماتية (تأثير يمكن تجاهله)»، وقدّم Park إثبات مفهوم على مستوى الشبكة (PoC) لدحض قرار الخفض؛ وفي 21 أبريل تم اتخاذ القرار النهائي بنشر الإفصاح.
وأشار Park أيضًا إلى أن المورد كان قد نفذ سابقًا عمليات مماثلة لخفض CVE للثغرة CVE-2025-24371 التي لها تأثيرات مماثلة، وهو ما يُعتقد أنه يخالف معايير تقييم الثغرات الدولية المعترف بها مثل CVSS.
إرشادات عاجلة: الإجراءات التي يحتاجها المُتحققون الآن
قبل أن يتم نشر التصحيح رسميًا، أوصى Park بأن يتجنب جميع المُتحققين في Cosmos إعادة تشغيل العقد قدر الإمكان. يمكن للعقد الموجودة بالفعل في وضع الإجماع أن تواصل العمل بشكل طبيعي؛ لكن إذا تم إعادة تشغيلها والدخول في عملية مزامنة BlockSync، فقد تتعرض لهجوم من عقد نظيرة خبيثة فتقع في توقف تام.
كإجراءات تخفيف مؤقتة: إذا لوحظ أن BlockSync عالق، فيمكن التعرف على عقد النظير الخبيثة التي تُبلغ عن ارتفاعات غير صالحة عبر رفع مستوى السجلّ (log) ثم في طبقة P2P حظر تلك العقدة. أما الحل الأكثر جوهرية فهو الترقية في أقرب وقت إلى النسخ المعالجة v1.0.1 أو v0.38.17.
الأسئلة الشائعة
هل يمكن لهذه الثغرة في CometBFT سرقة الأصول مباشرة؟
لا. لا تسمح هذه الثغرة بسرقة الأصول مباشرة أو تعريض أموال السلسلة على الإنترنت للخطر. يتمثل تأثيرها في أن العقدة تقع في توقف تام خلال مرحلة مزامنة BlockSync، مما يمنع العقدة من المشاركة بشكل طبيعي في الشبكة. قد يؤثر ذلك على قدرة المُتحققين على إنتاج الكتل والتصويت، وبالتالي على حيوية السلاسل الكتلية ذات الصلة.
كيف يمكن للمتحققين تحديد ما إذا كانت العقدة قد تعرضت لهجوم هذه الثغرة؟
إذا كانت العقدة عالقة في مرحلة BlockSync، فإن توقف الارتفاع الهدف عن الزيادة يعد علامة محتملة. يمكن رفع مستوى سجلّ وحدة BlockSync، والتحقق مما إذا كانت توجد سجلات لعقد نظيرة تم استقبال رسائل ارتفاع غير طبيعية منها، وذلك لتحديد العقد النظيرة الخبيثة المحتملة، ثم حظرها في طبقة P2P.
هل يتوافق قيام المورد بخفض تصنيف الثغرة إلى «معلوماتية» مع المعايير؟
يستند تقييم CVSS لدى Park (7.1، عالية الخطورة) إلى طريقة التقييم الدولية القياسية، كما قدم Park إثبات مفهوم على مستوى الشبكة يمكن التحقق منه لدحض قرار الخفض. اعتبرت مجتمع الأمان أن قيام المورد بخفض تصنيفها إلى «تأثير يمكن تجاهله» يخالف معايير تقييم الثغرات الدولية المعترف بها مثل CVSS. ويُعد هذا الجدل—إحدى الأسباب الأساسية التي دفعت Park في النهاية إلى اتخاذ قرار الإفصاح العلني.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
隐私协议 Umbra 关闭前端以阻止攻击者洗钱被盗的 Kelp 资金
Gate 新闻消息,4月22日——隐私协议 Umbra 已关闭其前端网站,以防止攻击者利用该协议在近期攻击之后转移被盗资金,包括导致损失超过 $280 百万的 Kelp 协议泄露事件。大约有 800,000 美元的被盗资金通过 Umbra 被转移,尽管该协议仅保护接收方的身份,而不保护发送方的身份;所有被转移的资金仍可识别。
GateNewsمنذ 18 د
مؤسّسة SlowMist 23pds تحذير: نشر فريق Lazarus Group مجموعة أدوات جديدة لنظام macOS مخصّصة للتمويل المشفّر
حذر كبير مسؤولي أمن المعلومات في شركة مان ويیو في 23pds في 22 أبريل، حيث ذكر أن مجموعة هاكرز كوريا الشمالية Lazarus Group قد أصدرت مجموعة أدوات برمجيات خبيثة أصلية جديدة لنظام macOS بعنوان "Mach-O Man"، ومصممة خصيصًا لاستهداف قطاع العملات المشفرة ومسؤولي الإدارة التنفيذيين لدى الشركات عالية القيمة.
MarketWhisperمنذ 1 س
جاستن صن يرفع دعوى ضد World Liberty Financial بسبب تجميد رموز WLFI وحقوق الحوكمة
بوابة الأخبار، 22 أبريل — رفع جاستن صن دعوى قضائية في محكمة اتحادية في كاليفورنيا ضد World Liberty Financial (WLF)، وهي مشروع DeFi مدعوم من إريك ترامب ودونالد ترامب الابن، مدعيًا أن الفريق جمد جميع ممتلكاته من WLFI، وأزال حقوقه في التصويت، وهدد بحرق رموزه بشكل دائم
GateNewsمنذ 3 س
مهاجم بروتوكول Venus ينقل 2301 ETH، ويقوم بالتدفق إلى Tornado Cash للغسل
وفقًا لمتابعة محللة السلسلة Ai Auntie في 22 أبريل، نقل مهاجمو Venus Protocol قبل 11 ساعة إلى العنوان 0xa21…23A7f ما مجموعه 2,301 ETH (حوالي 5.32 مليون دولار)، ثم قاموا بتحويل الأموال على دفعات إلى مُجمِّع العملات المشفّرة Tornado Cash لإجراء الغسيل؛ وحتى وقت المراقبة، كان لدى المهاجم على السلسلة حوالي 17.45 مليون دولار من ETH.
MarketWhisperمنذ 3 س
مجموعة لازاروس الكورية الشمالية تُصدر برنامجًا خبيثًا جديدًا لنظام macOS من نوع Mach-O Man يستهدف قطاع العملات المشفرة
الملخص: أطلقت مجموعة لازاروس مجموعة أدوات برمجيات خبيثة أصلية لنظام macOS باسم Mach-O Man، تستهدف منصات العملات المشفرة والمسؤولين التنفيذيين رفيعي القيمة؛ ويحذر SlowMist المستخدمين من ضرورة توخي الحذر ضد الهجمات.
نبذة: يذكر المقال أن مجموعة لازاروس قد كشفت النقاب عن Mach-O Man، وهي مجموعة أدوات برمجيات خبيثة أصلية لنظام macOS تستهدف منصات العملات المشفرة والمسؤولين التنفيذيين رفيعي القيمة. ويحذر SlowMist المستخدمين من ضرورة توخي الحذر للتخفيف من الهجمات المحتملة.
GateNewsمنذ 4 س
ظهرت عملية احتيال لرسوم المرور بالبيتكوين في مضيق هرمز، حيث تعرضت سفينة لإطلاق نار حتى بعد دفع رسوم المرور
وفقًا لتقرير صادر عن CoinDesk في 22 أبريل، أصدرت شركة خدمات مخاطر بحرية يونانية تُدعى Marisks تحذيرًا، إذ يدّعي المحتالون أنهم جهات تابعة للسلطات الإيرانية ويرسلون رسائل إلى عدة شركات شحن بهدف طلب بيتكوين أو USDT كـ“رسوم عبور” للمرور عبر مضيق هرمز. أكدت Marisks أن الرسائل ذات الصلة ليست صادرة من قنوات رسمية إيرانية، ووفقًا لما ذكرته رويترز، قالت إنها تعتقد أن سفينة واحدة على الأقل قد تم خداعها، وجرى إطلاق النار عليها أثناء محاولتها المرور في عطلة نهاية الأسبوع.
MarketWhisperمنذ 4 س
