طريقة قرصنة جديدة تُعرف باسم "دارك سكيبي" تثير قلق مستخدمي البيتكوين. يمكنها سرقة المفاتيح الخاصة من المحافظ المادية بكل سهولة باستخدام صفقتين فقط. تؤثر هذه الثغرة على جميع نماذج المحافظ المادية.
ما هو الصيد؟ يحتاج المهاجمون إلى إقناع الضحايا بتنزيل برمجيات خبيثة. ولكن بمجرد الدخول، تنتهي اللعبة.
الباحثون الأمنيون لويد فورنييه ونيك فارو وروبن لينوس كشفوا الحيلة في 5 أغسطس. إنهم ليسوا أشخاصًا عاديين. فورنييه وفارو هما مؤسسا شركة محافظ الاجهزة المادية فروست سناب. ولينوس شارك في تطوير بروتوكولات البيتكوين زيرو سنك وبيت في إم.
المفاجأة: يمكن للبرامج الخبيثة إخفاء أجزاء من كلمات الاسترداد في توقيعات المعاملات. تصل هذه التوقيعات إلى البلوكشين عندما تتم العمليات. ثم يقوم المهاجمون بالبحث عن هذه التوقيعات.
ولكن انتظر، هناك المزيد. التوقيعات تحتوي فقط على "أكواد عامة"، وليس الكلمات السرية الفعلية. يستخدم الهاكرز الأذكياء خوارزمية الكنغر لبولارد لفك الشفرة.
هذه العبقرية الرياضية، المقدمة من جون إم. بولارد، تحلُ معضلة اللوغاريتمات المتقطعة. إنها حقًا مشكلة معقدة لعشاق التشفير.
يدعي الباحثون أنهم يستطيعون الحصول على كلمات استرداد المستخدم الكاملة مع توقيعين فقط. لا يهم إن كانت كلمات الاسترداد جاءت من جهاز آخر. نتحدث هنا عن كابوس أمني.
هذا ليس جديدًا تمامًا. كانت الإصدارات السابقة تستخدم "طحن الأكواد"، وهي طريقة أبطأ تحتاج إلى عدد أكبر من العمليات. ولكن الباحثين لا يقولون بأن "دارك سكيبي" هو تهديد جديد تمامًا.
إذًا، ما هو الحل؟ يحتاج صانعو المحافظ المادية إلى تحسين ألعابهم. يقترحون "الإقلاع الآمن وقفل واجهات JTAG/SWD"، و "بناءات برمجية موقّعة وقابلة لإعادة الإنتاج."
المستخدمون ليسوا في مأمن أيضًا. التقرير ينصح بالحفاظ على الأجهزة في "أماكن سرية، خزائن شخصية، أو حتى ربما أكياس محكمة الإغلاق." أمرًا مزعجًا، أليس كذلك؟
خيار آخر؟ بروتوكولات توقيع "مكافحة التهريب". تمنع هذه البرمجيات المحافظ المادية من ابتكار أكوادها الخاصة.
عيوب محافظ البيتكوين تسببت في خسائر كبيرة من قبل. في أغسطس 2023، تم فقدان بيتكوين بقيمة تزيد عن 900,000 دولار بسبب خطأ في مكتبة مستكشف ليببيتكوين. في نوفمبر، حذرت شركة أنسايفرد من أن محافظًا بقيمة 2.1 مليار دولار قد تكون في خطر نتيجة لمشاكل في برامج محفظة بيتكوين جي إس.
أمام عالم التشفير الكثير ليعمل عليه. "دارك سكيبي" هو فقط الأحدث في سلسلة طويلة من كوابيس الأمن. ولكن بالنسبة لمؤيدي البيتكوين، هذا جزء من اللعبة.