الأخبار
تم إصلاح ثغرة سولانا بهدوء، مما أثار مخاوف بشأن تواطؤ المصادقات

تم إصلاح ثغرة سولانا بهدوء، مما أثار مخاوف بشأن تواطؤ المصادقات

Kostiantyn Tsentsuraمنذ 6 ساعة
#سولانا
تم إصلاح ثغرة سولانا بهدوء، مما أثار مخاوف بشأن تواطؤ المصادقات

في أواخر أبريل 2025، قامت بلوكشين سولانا بهدوء بتصحيح ما وصفه الخبراء بأنه أحد أكثر الثغرات تأثيراً في تاريخها. كان يمكن لخلل حرج في معيار Token-2022 أن يسمح للجهات الخبيثة بصك التوكنات بلا حدود وتصريف حسابات المستخدمين كما يحلو لهم.

بينما تمكنت مؤسسة سولانا والمطورون الأساسيون من تنسيق إصلاح قبل وقوع أي استغلال، أثارت طريقتهم - التنسيق الخاص مع أكثر من 70٪ من المصادقات دون إفصاح علني حتى بعد التنفيذ - جدلاً حاداً في أوساط مجتمع العملات الرقمية حول الطبيعة الأساسية للامركزية، والحكم، والثقة في أنظمة البلوكشين.

شكلت الثغرة المكتشفة في معيار Token-2022 لسولانا تهديداً وجودياً محتملاً لأحد شبكات الطبقة-1 الواعدة في عالم البلوكشين. كان جوهر المسألة يكمن في برنامج إثبات زيرو-نوليدج ElGamal - وهو مكون متقدم مصمم لتمكين العمليات الخاصة والمعاملات السرية من خلال تشفير زيرو-نوليدج.

حدد باحثو الأمن في Asymmetric Research خللاً حرجاً في منطق التحقق من الإثبات الذي تجاوز بشكل فعال الحمايات التشفيرية المصممة لحماية عمليات التوكن. لو تم استغلال هذه الثغرة قبل معالجة العطل، لكان بإمكان المهاجمين:

  1. توليد كميات غير محدودة من التوكنات لأي أصل باستخدام معيار Token-2022، مما يخلق تضخماً هائلاً في التوكنات المتأثرة
  2. سحب التوكنات من أي محفظة أو عقد يحمل أصولاً معرضة للخطر دون تفويض
  3. التلاعب في استشعارات الأسعار وأحواض السيولة عن طريق غمر الأسواق بالتوكنات المزورة

"استهدفت هذه الثغرة تحديداً ميزة التحويل السري داخل Token-2022"، أوضحت الدكتورة صوفيا تشين، الباحثة في علم التشفير في سولانا لابس. "احتوى الخوارزمية القياسية للتحقق من زيرو-نوليدج على حالة حافّة حيث تمكن الإثباتات المعتلة من تجاوز فحوصات التحقق، معطيةً للمهاجم عملياً حرية كاملة لتنفيذ العمليات غير المصرح بها."

وفقاً للوثائق التقنية الصادرة بعد الإصلاح، أثرت الثغرة فقط على التوكنات التي تطبق امتداد التحويل السري لـ Token-2022 - وليس نظام التوكن الأوسع SPL الذي يشكل العصب الرئيسي لقيمة سولانا المحجوزة والتي تبلغ 14.7 مليار دولار.

رموز سولانا-2022: الابتكار على حساب الأمان؟

لفهم السياق الكامل لهذه الثغرة، يجب التأمل في سبب وجود Token-2022 في المقام الأول. تم تقديمه في أواخر 2022 كترقية طموحة لبرنامج توكن SPL الأصلي لسولانا، وتم تصميم Token-2022 لتمكين الوظائف المتقدمة التي يمكن أن تضع سولانا كأبرز بلوكشين للتطبيقات المالية المتقدمة.

قدم المعيار عدة قدرات رائدة:

  • التحويلات السرية: معاملات تحافظ على الخصوصية وتحجب المعلومات والكميات
  • خطاطيف التحويل: منطق برمجي يتم تنفيذه عند انتقال التوكنات بين الأطراف، مما يتيح الضرائب الآلية، والعوائد، أو ضوابط الامتثال
  • شروط عدم القابلية للتحويل: قيود تجعل التوكنات غير قابلة للنقل تحت ظروف معينة (حيوية للامتثال، وإجراءات الانتقال التدريجي، وحوكمة)
  • التوكنات المحملة بالفوائد: ميزات عائد أصلي بدون الحاجة لعقود خارجية
  • ديمومة البيانات الوصفية: بيانات وصفية للتوكن غير قابلة للتغيير على السلسلة

تم وضع هذه الميزات كرد تنافسي لمعايير التوكنات المتطورة في إيثيريوم مثل ERC-20 وERC-721 وERC-1155، التي هيمنت على فضاء التمويل اللامركزي وNFT بالرغم من تكاليف الغاز المرتفعة والتدفق المنخفض.

"مثل Token-2022 قفزة نوعية في ما يمكن أن تفعله الأصول المعتمدة على البلوكشين بذاتها"، قال ماركو رودريجيز، مصمم بروتوكول DeFi في Marinade Finance. "لكن علم التشفير المتقدم دائماً ما يأتي بمزيد من الاعتبارات الأمنية - لا يمكن تجنب تلك المقايضة."

بالفعل، برزت الثغرة تحديداً في تنفيذ التحويلات السرية، وهو أحد مكونات المعيار الأكثر طموحاً من الناحية التقنية. استغل هذا المكون إثباتات زيرو-نوليدج لتمكين المعاملات التي تحافظ على الخصوصية - وهي تقنية حتى مشاريع البلوكشين العملاقة تعاملت معها بحذر شديد بسبب تعقيدها الرياضي.

الإصلاح الصامت: كيف تعاملت سولانا مع الأزمة

بعد التأكيد من الثغرة، نفذ مطورو سولانا الأساسيون ما وصفوه لاحقاً بـ "بروتوكول تنسيق الاستجابة الأمنية". بدلاً من إفشاء الثغرة على الفور - والذي كان يمكن أن يدعو إلى الاستغلال - اتبعوا مناهج مختلفة:

  1. إخطار خاص لمجموعة مختارة من المصادقات الرائدة ومشغلي العقد
  2. نافذة ترقية منسقة حيث قامت المصادقات المشاركة (تمثل أكثر من 70٪ من الوزن الملحوظ) بتحديث عقدها
  3. الإفشاء للجمهور الأوسع مرة تم حماية غالبية الشبكة

أثبت هذا المنهج فعاليته الفنية - تم إصلاح الثغرة دون أي استغلال معروف. ومع ذلك، كان هذا بالذات عملية الإصلاح التي أثارت الجدل عبر مجتمع العملات الرقمية.

"فريق الاستجابة الأمنية فعل تماماً ما تتوقعه في أمان البرمجيات التقليدية"، أشار جاكسون ويليامز، رئيس الأمن في Neodyme، واحدة من الشركات التي ساعدت في الإصلاح. "الإفشاء المسؤول يعني التثبيت قبل الإعلان. لكن البلوكشين يعمل تحت عقود اجتماعية مختلفة عن البرمجيات المركزية."

مخاوف من التمركز: جوهر الجدل

لم تنطلق الانتقادات الموجهة لطريقة تعامل سولانا من الإصلاح الفني ذاته، بل من الدلالات المتعلقة بالحكم التي كشفتها. أشار النقاد للعديد من الجوانب المثيرة للقلق:

شبكة تنسيق خاصة

قدرة الواجهة على تنسيق أكثر من 70% من مصادقات الشبكة بشكل سريع تشير إلى وجود قنوات اتصال خاصة ومجموعة صغيرة من صناع القرار الذين يمكنهم بالفعل السيطرة على عمليات الشبكة. في مصطلحات العملات الرقمية، يشير ذلك إلى "كارتل المصادقات" - هيكل قوة مركزية يمكن نظرياً استغلاله للرقابة أو أشكال أخرى من السيطرة.

غياب الإشارة على السلسلة

بخلاف بعض سلاسل الكتل الرئيسية الأخرى التي تتطلب التصويت أو الإشارة على السلسلة من أجل تغييرات كبيرة، تم تنفيذ ترقية سولانا عبر تنسيق خارج السلسلة، تاركة سجل شفاف لعملية اتخاذ القرار.

عدم تماثل المعلومات

الفجوة المؤقتة في المعلومات بين الأشخاص المطلعين (المطورين الأساسيين والمصادقات المختارة) والمجتمع العام خلقت سيناريو حيث كان لدى الفاعلين المتميزين العلم الحاسم بشأن عمليات الشبكة التي لم تكن معروفة للمستخدمين والمطورين وحاملي التوكنات.

قام الباحث البارز في مجال العملات الرقمية والرياضيات فيتاليك بوتيرين بالتعليق على الحادثة عبر وسائل التواصل الاجتماعي: "الأمان ذو أهمية كبيرة، لكن ذلك ينطبق أيضاً على العملية. أفضل الحلول تحافظ على الأمان بينما تزيد من الشفافية وتقلل من التنسيق الموثوق."

السياق التاريخي: سوابق الصناعة لإصلاح الثغرات الحرجة

ليس التوتر بين الأمان واللامركزية فريداً من نوعه بالنسبة لسولانا. فقد واجهت العديد من شبكات البلوكشين الرئيسية مواقف مماثلة، كل منها اتخذ قرارات وفقاً لفلسفات حكومتها:

ثغرة التضخم في بيتكوين (2018)

في سبتمبر 2018، قام مطوروا بيتكوين بهدوء بتصحيح CVE-2018-17144، وهي ثغرة حرجة كان يمكن أن تسمح للمنقبين بإنشاء بيتكوين بلا حدود عن طريق استخدام مخرجات مزدوجة. قام فريق بيتكوين كور بإبلاغ مجموعات التعدين بشكل خاص قبل الإفشاء العام - خطوة موازية لطريقة سولانا. ومع ذلك، فإن مشهد التعدين الموزع بشكل كبير لبيتكوين (الذي يضم الآلاف من المنقبين المستقلين) خلق ملف مخاطر التمركز مختلف عن مجموعة المصادقات الأكثر تركيزاً في سولانا.

تأخير القسطنطينية في إيثيريوم (2019)

قبل ساعات من عملية انقسام صعب مجدولة، اكتشف الباحثون في إيثيريوم متجه هجوم محتمل في تنفيذ EIP-1283. عقد المطورون الأساسيون اتصالاً طارئاً تم بثه علناً، مما أخر الترقية عبر عملية شفافة. بينما أتاح ذلك أقصى قدر من الشفافية، فقد خلق أيضاً فترة زمنية حيث كانت الثغرة عامة ولكن لم يتم إصلاحها بعد.

إصلاح الخطأ الصامت لبوليجون والذي يبلغ 2.2 مليار دولار (2021)

ربما تكون الأكثر شبهاً بموقف سولانا، حيث قامت بوليجون بتحديث ثغرة تهدد 2.2 مليار دولار سراً، وتحديث 90% من العقد قبل الإفشاء. قاموا بدفع مكافأة خطأ قياسية للهاكر الأبيض الذي حدد المسألة، ولكن واجهوا نفس الانتقادات المتعلقة بالتمركز.

"المثير للاهتمام هو أن كل سلسلة رئيسية كبرى واجهت هذا المأزق وقدمته بطريقة مختلفة قليلاً," قال الدكتور لي زانج، باحث في حوكمة البلوكشين في جامعة كاليفورنيا، بيركلي. "لا يوجد حل مثالي - فقط توازنات مختلفة بين البراغماتية الأمنية والمثل اللامركزية."

البنية التقنية لسولانا: السرعة مقابل اللامركزية

إن اختيارات التصميم الأساسية لسولانا دائماً ما عكست تأكيدها على الأداء وتجربة المستخدم، وأحياناً على حساب أقصى قدر من اللامركزية:

متطلبات العتاد للمصادقات

يتطلب تشغيل مصادق سولانا عتاداً أقوى بكثير من العديد من الشبكات المنافسة، مما يخلق حواجز دخول أعلى. اعتباراً من مايو 2025، تشمل المواصفات الموصى بها 24 نواة CPU، 128 جيجابايت RAM، و2 تيرابايت من التخزين عالي السرعة NVMe - وهي متطلبات تحد من المشاركين في إجماع الشبكة.

إثبات التاريخ واختيار القائد

يوفر آلية إجماع إثبات التاريخ المبتكرة في سولانا ميزة كفاءة ولكنها تتطلب من المصادقات الحفاظ على توقيت دقيق للغاية وتنسيق مما يفضل العمليات الاحترافية على المشاركين العاديين.

توزيع الرهان المركز

رغم أن سولانا لديها تقنياً أكثر من 1,900 مصادق، تشير التحليلات من DefiLlama إلى أن أكبر 20 كياناً يتحكمون في حوالي 33% من الرهان الكلي، مما يخلق هيكل قوة متركز.

"قامت سولانا باختيارات معمارية صريحة تفاضل الأداء، وهذا يأتي بدلالات حكم," قالت مسؤولة تقنية مؤسسة سولانا الساب مستشار Michael Chen. "يمكن للشبكة معالجة 65,000 معاملة في الثانية مع تحقيق نهائية دون الثانية تحديدًا لأنها تقبل بعض الدرجات من احترافية وتركيز المدققين."

استجابة السوق والنظام البيئي

على الرغم من الجدل، أظهر نظام سولانا البيئي مرونة ملحوظة. في الأسبوعين التاليين للإفشاء:

  • تراجعت أسعار عملة SOL في البداية بنسبة 7٪ قبل أن تستعيد معظم الخسائر
  • ظلت أنشطة المطورين على GitHub مستقرة وفقًا لتتبع المطور من Electric Capital
  • انخفض إجمالي القيمة المقفلة (TVL) عبر بروتوكولات DeFi الخاصة بسولانا مؤقتًا بنسبة 4٪ قبل أن يعود إلى مستويات ما قبل الإفشاء

أصدر Jupiter Aggregator، أكبر بروتوكول DeFi في سولانا مع أكثر من 3 مليارات دولار في TVL، بيانًا يدعم كيفية تعامل مؤسسة سولانا مع الثغرة: "بينما تعد الشفافية في الحوكمة أمرًا بالغ الأهمية، يجب أن يكون حماية أموال المستخدم في الأولوية. يوضح عدم حدوث استغلالات صفرية إدارة فعالة للأزمة."

لم تكن جميع المشاريع داعمة بنفس القدر. أعلن Marinade Finance، أكبر مزود للتخزين السائل في سولانا، عن خطط لتنفيذ نظام تنبيه المدققين الخاص بهم والدفع نحو شفافية أكبر في إصلاحات الأمان المستقبلية.

الطريق المستقبلي: موازنة الأمان واللامركزية

أدى الحادث إلى إطلاق عدة مبادرات حوكمة داخل نظام سولانا:

إطار شامل للكشف عن الأمان

أعلنت مؤسسة سولانا عن العمل على إطار شامل للكشف عن الأمان الذي يحدد بوضوح كيفية التعامل مع الثغرات، بما في ذلك المعايير المتعلقة بالكشف الخاص مقابل العام وإجراءات تنسيق المدققين.

نظام إنذار لامركزي مبكر

تقوم عدة فرق مطورين مستقلة ببناء أنظمة تنبيه لا مركزية تسمح للمدققين بالإشارة بشكل جماعي إلى المشكلات المحتملة دون الاعتماد على قنوات الاتصال المركزية.

تنويع الحوكمة

دعا المشاركون الرئيسيون في النظام البيئي بما في ذلك محفظة Phantom و Magic Eden و Orca إلى تنويع قوة الحوكمة من خلال حوافز التفويض وهياكل المدققين الفرعية DAO.

"لقد أجبرنا هذا الحادث على مواجهة حقيقة غير مريحة - الاستجابة الأمنية واللامركزية ليست دائمًا متوافقة تمامًا"، أقر أناتولي ياكوفينكو، الشريك المؤسس لسولانا، في مكالمة مطورين حديثة. "نحتاج إلى بناء أنظمة تزيد من كلا الجانبين بدلاً من معاملتهما كخيارات ثنائية."

تداعيات أوسع على صناعة البلوكشين

تعرض ثغرة سولانا وكيفية التعامل معها عدة دروس مهمة لباقي النظام البيئي للبلوكشين:

  1. الميزات المتقدمة تتطلب أمانًا متقدمًا: مع تنفيذ البلوكشين لتقنيات تشفير أكثر تعقيدًا، فإن ذلك يوسع من سطح الهجوم بطرق تتطلب خبرة أمنية متخصصة.

  2. شفافية الحوكمة تتطلب تصميمًا مدروسًا: يجب على الشبكات تصميم أنظمة الحوكمة بعناية لتمكين الاستجابات الأمنية مع الحفاظ على الثقة والشفافية.

  3. الطبقات التقنية والاجتماعية غير قابلة للفصل: العقد الاجتماعي للبلوكشين مهم بقدر أهمية شيفرته - وربما أكثر أهمية أثناء سيناريوهات الأزمات.

  4. نضج السوق يتزايد: يشير الرد السوقي المعتدل نسبيًا إلى زيادة التطور بين مستثمري العملات المشفرة الذين يمكنهم التمييز بين الثغرات التقنية وعيوب التصميم الأساسية.

الخاتمة: مفارقة النظم التي لا تحتاج إلى ثقة

تسلط ثغرة سولانا الضوء في نهاية المطاف على مفارقة جوهرية في تقنية البلوكشين: الأنظمة المصممة للقضاء على الثقة لا تزال تتطلبها في نقاط حرجة.

عندما تبرز مشكلة خطيرة محتملة، قد يتعين على اللامركزية الكاملة أن تتراجع مؤقتًا إلى مخاوف الأمان العملية. ليست المسألة ما إذا كانت هذه التنازلات ستحدث، ولكن كيف تكون منظمة، ومعبرة، ومحدودة.

مع استمرار تقنية البلوكشين في اتجاهها نحو الاعتماد العام، ستحتاج كل شبكة إلى إيجاد توازنها الخاص بين البراغماتية الأمنية والمثالية اللامركزية. بالنسبة لسولانا، يمثل هذا الحادث قصة نجاح تقني وتنبيهًا للحوكمة - من المرجح أن يؤثر ذلك في كيفية تعامل جميع شبكات البلوكشين عالية الأداء مع الرقصة الدقيقة بين الحماية ونقاء البروتوكول.

قد لا تكون الشبكة التي تكسب الثقة الأكبر هي التي لم تواجه أبدًا ثغرات، بل التي تتعامل معها بأفضل توازن من الكفاءة والشفافية.

إخلاء المسؤولية: المعلومات المقدمة في هذه المقالة هي لأغراض تعليمية فقط ولا ينبغي اعتبارها نصيحة مالية أو قانونية. قم دائمًا بإجراء بحثك الخاص أو استشر محترفًا عند التعامل مع أصول العملات المشفرة.
آخر الأخبار
عرض جميع الأخبار
انتقال البيتكوين بدون جسر إلى كاردانو تم تحقيقه باستخدام براهين عدم المعرفة
منذ 2 ساعة
عرض جديد من BitcoinOS يقدم طريقة مبتكرة لنقل البيتكوين بين كاردانو دون استخدام الجسور التقليدية. البرنامج يظهر إمكانيات واعدة.
اختراقات العملات الرقمية في أبريل 2025 تصل إلى 92.5 مليون دولار: استهداف إيثريوم وسلسلة BNB وBase
منذ 3 ساعة
فقدت بروتوكولات التمويل اللامركزي 92.5 مليون دولار في 15 حادثة اختراق منفصلة في أبريل 2025. يتزايد الإجماع بين
فيزا ترغب في السماح للوكلاء الذكاء الاصطناعي بإدارة بطاقة الائتمان الخاصة بك، وتتعاون مع OpenAI و Perplexity
منذ 3 ساعة
أعلنت فيزا عن شراكة مع مطوري الذكاء الاصطناعي لدمج أنظمتهم بشبكة مدفوعات فيزا، مما قد يحول كيفية تسوق المستهلكين بالسماح للوكلاء.
تكشف Tether AI عن محفظة ذاتية الحفظ بدعم من البيتكوين وUSDT
منذ 5 ساعة
توسع Tether AI من خلال تكنولوجيا ذات سيطرة ذاتية لمواكبة العصر الرقمي، مع مزيج من العملات الرقمية والذكاء الاصطناعي.
فيتاليك بوتيرين يكشف خطة خمسية لجعل الإيثريوم "بسيطة مثل البيتكوين"
منذ 7 ساعة
يطمح بوتيرين إلى تقليل التعقيد في قاعدة كود إيثريوم التي نمت إلى 300,000 سطر مقارنة ببيتكوين.
تتوقع دويتشه بنك انخفاض الدولار وترى EUR/USD عند 1.30 بنهاية العقد
منذ 9 ساعة
يتوقع دويتشه بنك انخفاضاً كبيراً في الدولار الأمريكي ومؤشرات السياسة العالمية الداعمة لذلك.
صناديق تداول بيتكوين تجذب 1.81 مليار دولار أسبوعيًا مع عودة المستثمرين إلى أسواق العملات المشفرة
منذ 11 ساعة
اجتذبت صناديق تداول بيتكوين 1.81 مليار دولار خلال الأسبوع المنتهي في الثاني من مايو، وهو ثالث أعلى أداء في عام 2025.