باحث أمني Doyeon Park في 21 أبريل كشف علنًا عن وجود ثغرة يوم صفر عالية الخطورة بدرجة CVSS 7.1 في طبقة الإجماع لدى Cosmos ضمن CometBFT. قد تسمح هذه الثغرة بعقد نظيرة (peer) خبيثة بمهاجمة عقدة خلال مرحلة مزامنة الكتل (BlockSync) مما يؤدي إلى حالة توقف تام (deadlock)، مما يؤثر على شبكة تضمن أصولًا بقيمة تتجاوز 8 مليارات دولار.
المبدأ الفني للثغرة: عقدة خبيثة ترفع التقارير بشكل مبالغ فيه تؤدي إلى توقف تام لا نهائي
توجد الثغرة في آلية BlockSync لدى CometBFT. في الظروف العادية، عند الاتصال، تقوم العقد النظيرة بالإبلاغ عن ارتفاع الكتل الأحدث بشكل متزايد (latest). ومع ذلك، لا يتحقق الكود الحالي مما إذا كانت العقدة النظيرة قد أعلنت ارتفاعًا X أولًا ثم أعلنت ارتفاعًا أقل Y لاحقًا—على سبيل المثال إعلان 2000 ثم إعلان 1001. عندها، ستنتظر العقدة (A) ضمن عملية المزامنة إلى أجل غير مسمى حتى تلحق بارتفاع 2000، حتى لو انقطع الاتصال عن العقدة الخبيثة، ولن يُعاد حساب الارتفاع الهدف، مما يؤدي إلى توقف تام لا نهائي للعقدة، ويمنعها من إعادة الانضمام إلى الشبكة. الإصدارات المتأثرة هي <= v0.38.16 و v1.0.0، بينما الإصدارات التي تمت معالجتها هي v1.0.1 و v0.38.17.
فشل الإفصاح المنسق: خط زمني كامل لخفض CVE من قبل المورد
اتبع Park عملية الإفصاح المنسق عن الثغرات (CVD) القياسية، لكن في عدة مناسبات واجه تعثرًا: في 22 فبراير تم تقديم أول تقرير، وطالب المورد بإرسال ذلك على شكل GitHub issue علني لكن رفض الإفصاح العلني؛ في 4 مارس وُسم التقرير الثاني من قبل HackerOne بأنه بريد مزعج؛ في 6 مارس قام المورد بخفض شدة الثغرة من «متوسطة/عالية» تلقائيًا إلى «معلوماتية (تأثير يمكن تجاهله)»، وقدّم Park إثبات مفهوم على مستوى الشبكة (PoC) لدحض قرار الخفض؛ وفي 21 أبريل تم اتخاذ القرار النهائي بنشر الإفصاح.
وأشار Park أيضًا إلى أن المورد كان قد نفذ سابقًا عمليات مماثلة لخفض CVE للثغرة CVE-2025-24371 التي لها تأثيرات مماثلة، وهو ما يُعتقد أنه يخالف معايير تقييم الثغرات الدولية المعترف بها مثل CVSS.
إرشادات عاجلة: الإجراءات التي يحتاجها المُتحققون الآن
قبل أن يتم نشر التصحيح رسميًا، أوصى Park بأن يتجنب جميع المُتحققين في Cosmos إعادة تشغيل العقد قدر الإمكان. يمكن للعقد الموجودة بالفعل في وضع الإجماع أن تواصل العمل بشكل طبيعي؛ لكن إذا تم إعادة تشغيلها والدخول في عملية مزامنة BlockSync، فقد تتعرض لهجوم من عقد نظيرة خبيثة فتقع في توقف تام.
كإجراءات تخفيف مؤقتة: إذا لوحظ أن BlockSync عالق، فيمكن التعرف على عقد النظير الخبيثة التي تُبلغ عن ارتفاعات غير صالحة عبر رفع مستوى السجلّ (log) ثم في طبقة P2P حظر تلك العقدة. أما الحل الأكثر جوهرية فهو الترقية في أقرب وقت إلى النسخ المعالجة v1.0.1 أو v0.38.17.
الأسئلة الشائعة
هل يمكن لهذه الثغرة في CometBFT سرقة الأصول مباشرة؟
لا. لا تسمح هذه الثغرة بسرقة الأصول مباشرة أو تعريض أموال السلسلة على الإنترنت للخطر. يتمثل تأثيرها في أن العقدة تقع في توقف تام خلال مرحلة مزامنة BlockSync، مما يمنع العقدة من المشاركة بشكل طبيعي في الشبكة. قد يؤثر ذلك على قدرة المُتحققين على إنتاج الكتل والتصويت، وبالتالي على حيوية السلاسل الكتلية ذات الصلة.
كيف يمكن للمتحققين تحديد ما إذا كانت العقدة قد تعرضت لهجوم هذه الثغرة؟
إذا كانت العقدة عالقة في مرحلة BlockSync، فإن توقف الارتفاع الهدف عن الزيادة يعد علامة محتملة. يمكن رفع مستوى سجلّ وحدة BlockSync، والتحقق مما إذا كانت توجد سجلات لعقد نظيرة تم استقبال رسائل ارتفاع غير طبيعية منها، وذلك لتحديد العقد النظيرة الخبيثة المحتملة، ثم حظرها في طبقة P2P.
هل يتوافق قيام المورد بخفض تصنيف الثغرة إلى «معلوماتية» مع المعايير؟
يستند تقييم CVSS لدى Park (7.1، عالية الخطورة) إلى طريقة التقييم الدولية القياسية، كما قدم Park إثبات مفهوم على مستوى الشبكة يمكن التحقق منه لدحض قرار الخفض. اعتبرت مجتمع الأمان أن قيام المورد بخفض تصنيفها إلى «تأثير يمكن تجاهله» يخالف معايير تقييم الثغرات الدولية المعترف بها مثل CVSS. ويُعد هذا الجدل—إحدى الأسباب الأساسية التي دفعت Park في النهاية إلى اتخاذ قرار الإفصاح العلني.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
يستخرج ممثلو كوريا الشمالية $577M في اختراقات العملات المشفرة حتى أبريل 2026، بما يمثل 76% من الخسائر العالمية
وبحسب TRM Labs، استخرجت الجهات الفاعلة الكورية الشمالية نحو 577 مليون دولار خلال الأشهر الأربعة الأولى من عام 2026، وهو ما يمثل 76% من جميع خسائر اختراق العملات الرقمية العالمية خلال الفترة. وتعود عملية السرقة إلى حادثين وقعا في أبريل: استغلال KelpDAO بقيمة 292 مليون دولار، وسرقة Drift بقيمة 285 مليون دولار
GateNewsمنذ 22 د
كشفت $577M عن أن كوريا الشمالية كانت مسؤولة عن 76% من خسائر اختراقات العملات المشفرة في عام 2026 خلال الأشهر الأربعة الأولى، مع سرقة من قبل TRM Labs
ووفقاً لـ TRM Labs، استخرجت جهات فاعلة كورية شمالية ما يقارب 577 مليون دولار خلال الأشهر الأربعة الأولى من عام 2026، بما يمثل 76% من إجمالي خسائر اختراقات العملات المشفرة العالمية خلال الفترة. وتعود الخسائر إلى حادثين وقعا في أبريل: استغلال KelpDAO بقيمة 292 مليون دولار، واختراق Drift Pr بقيمة 285 مليون دولار
GateNewsمنذ 27 د
سيتم إجراء ترقية شاملة لجسر Kelp عبر السلاسل بعد أسبوعين، بالتزامن مع قيام ether.fi بتعزيز صلابة WeETH
بعد اختراق جسر rsETH عبر السلاسل في 18 أبريل، وبعد أسبوعين، أكملت Kelp ترقية في 29/4: تم التحقق من المدققين في 4/4، وتأكيد الكتل 64، واعتمدت البنية طوبولوجيا على شكل hub-and-spoke، بحيث يجب أن تمر رسائل الربط عبر شبكة الإيثريوم الرئيسية كمحطة وسيطة. كما قامت ether.fi بتدعيم weETH في الوقت نفسه، وأضافت DeFi United تبرعاً بقيمة 5,000 ETH. حشدت DeFi United أكثر من 70,000 ETH لتوفير تمويل الإنقاذ، وانخفضت بشكل ملحوظ أسعار الفائدة في أسواق مثل Aave؛ لكن المهاجمين ما زالوا يحتفظون بنحو 107,000 rsETH بانتظار التصفية، ما يستلزم استعادة عبر آليات حوكمة وإجراءات على نمط اللجان.
ChainNewsAbmediaمنذ 50 د
تعرضت Wasabi للاختراق بقيمة 2.9 مليون دولار: تسربت مفاتيح خاصة للمسؤول، وتم تعديل العقد إلى نسخة خبيثة
تعرّض بروتوكول Wasabi Protocol، وهو من منتجات المشتقات في قطاع DeFi، لتسرّب مفاتيح خاصة إدارية في 4/30، حيث حصل المهاجمون على ADMIN_ROLE عبر حساب Deployer EOA، ثم استغلوا آلية ترقية UUPS لاستبدال محافظ perp وLongPool بإصدارات خبيثة، ما مكّنهم من السحب مباشرة. قدّرت CertiK خسائر بنحو 2.9 مليون دولار. وقد تأثرت شبكة Ethereum الرئيسية وBase؛ وأعلنت Wasabi تعليق التفاعل. كما قامت Virtuals Protocol بتجميد الضمانات المرتبطة بـWasabi. وتُبرز هذه الحادثة مخاطر أمن المفاتيح الخاصة في المنبع على النظام البيئي في المنبع والامتداد إلى الأسفل.
ChainNewsAbmediaمنذ 2 س
يوضح WasabiCard عدم وجود أي ارتباط مع بروتوكول Wasabi Wallet وWasabi Wallet في 30 أبريل
وبحسب موقع BlockBeats، أصدرت WasabiCard بياناً أمنياً في 30 أبريل أوضحت فيه أنها لا تمت بأي صلة إلى Wasabi Protocol أو Wasabi Wallet أو أي مشاريع أو مؤسسات ذات صلة. تتعاون المنصة مع Safeheron لتقديم خدمات المحافظ الحافظة، وتنسق أيضاً مع مدقق أمن
GateNewsمنذ 3 س
