درجة ثقة المجتمعموثّق
لا تزال معظم عقد لايتكوين تعمل ببرمجيات لا يمكنها منع تكرار هجوم الإنفاق المزدوج الذي حدث في أبريل. هذه مشكلة لا يبدو أن أحدًا يقوم بحلها بسرعة كافية.
أقل من 30% من العقد قامت بتثبيت التصحيحات التي أُصدرت بعد أن استغل أحد القراصنة ثغرة في معاملات لايتكوين ضمن امتداد MimbleWimble — المعروف بـ MWEB. أما البقية؟ فهي عرضة للهجمات. حوالي 39% من العقد لا تزال تعمل على الإصدار v0.21.4، وهو الإصدار المعرض للخطر، ومعظم هذه العقد ليست للتعدين. عقد التعدين قصة مختلفة — فقد قامت الغالبية منها بالتحديث، مما يعني أن المعدنين ربما لن يتم خداعهم بنفس الطريقة مرة أخرى. لكن عقد التحقق هي مسألة أخرى تمامًا، وهناك الكثير منها لا تزال تعالج المعاملات دون الإصلاح.
ليس جيدًا.
ما الذي حدث بالفعل في أبريل
وقع الهجوم في 25 أبريل. تسللت معاملة MWEB سيئة التكوين — إدخال صغير يدعم سحبًا أكبر بكثير، مما أدى فعليًا إلى خلق لايتكوين غير شرعي من العدم. قبلت عقد التعدين غير المحدثة المعاملة غير الصالحة، وتمكن المهاجم من سحب العملات إلى منصات خارجية قبل أن يتمكن أحد من إيقافه. استجاب شبكة لايتكوين بإعادة تنظيم طارئة لـ 13 كتلة، مما عكس النشاط الاحتيالي وأوقف النزيف. استجابة سريعة، بالنظر إلى كل الأمور. لكن حقيقة أن الأمر وصل إلى هذا الحد في المقام الأول زعزعت الثقة.
تعود الثغرة إلى كيفية تعامل لايتكوين كور مع معاملات MWEB. تم تفعيل MWEB في عام 2022، وتم بناؤه لمنح مستخدمي لايتكوين خصوصية أفضل في المعاملات. فكرة جيدة من الناحية النظرية. لكنها أدخلت عن غير قصد الثغرة التي وجدها المهاجم في أبريل واستغلها. الطبقة الخصوصية التي كان من المفترض أن تكون ميزة أصبحت مسؤولية.
تم إصدار لايتكوين كور v0.21.5.4 في اليوم التالي لحدث إعادة التنظيم — 25 أبريل — مستهدفًا نواقل هجمات حجب الخدمة على مجموعات التعدين. ثم، في أوائل مايو، دفعت الفريق الإصدار v0.21.5.5، وهو تصحيح متابعة يهدف إلى تعزيز التحقق من MWEB بشكل أكبر. تصحيحان، هدف واضح، متاحان لأسابيع. ومع ذلك، لم يتحرك معظم الشبكة.
لماذا يهم التبني البطيء
تحمل لايتكوين قيمة سوقية تبلغ $3.4 مليار. هذا ليس رقمًا صغيرًا. وتعتمد أمان تلك الشبكة بشكل شبه كامل على مشغلي العقد في الحفاظ على برمجياتهم محدثة — وهو ما يتضح أنه أصعب في التنسيق مما يبدو في نظام لامركزي. لا يمكنك إجبار أي شخص على التحديث. يمكنك الحث، التحذير، إصدار التصحيحات، وتكرار نفسك. ولكن إذا لم يتصرف المشغلون، تبقى الثغرة موجودة.
وهذا هو المكان الذي تقف فيه الأمور الآن.
دفعت فريق لايتكوين بقوة من أجل التبني، وحثت جميع المستخدمين على الانتقال إلى أحدث الإصدارات وتوضيح ما هو على المحك. تم تصميم التصحيحات لرفض معاملات MWEB غير الصالحة بشكل قاطع، لذا فإن العقد التي تعمل بالبرمجيات المحدثة لن تعالج النوع من المعاملات السيئة التي تسببت في فوضى أبريل. ولكن مع حوالي 70% من العقد لا تزال على الإصدارات القديمة، لا يمكن لجزء كبير من شبكة التحقق اتخاذ القرار بشكل صحيح. مهاجم يحاول خطوة مشابهة اليوم سيجد الكثير من العقد مستعدة لقبول ما لا ينبغي.
الفجوة بين عقد التعدين وعقد التحقق غير التعدينية تستحق الانتباه هنا. قام المعدنون بالتحديث لأنهم كانوا معنيين بشكل مباشر — كانوا هم الذين استهدفت مجموعاتهم بواسطة زاوية حجب الخدمة في الاستغلال. مشغلو العقد غير التعدينية لا يواجهون نفس الضغط الفوري، ويبدو أن ذلك ينعكس في معدل تحديثهم. ربما ليست نية سيئة. ربما هو مجرد جمود. لكن الجمود في أمان الشبكة يميل إلى الانتهاء بشكل سيء.
أين تقف الشبكة الآن
لا يوجد جدول زمني لموعد — أو ما إذا كان — سيتم تحديث العقد المتبقية. لم تحدد فريق لايتكوين موعدًا نهائيًا، ولا توجد آلية في شبكة لامركزية لفرض الأمر. من غير الواضح ما إذا كان التبني البطيء سيؤدي إلى مزيد من التواصل العدواني من الفريق أو ما إذا كان المجتمع سينتظر ببساطة ويأمل ألا يحدث شيء في الأثناء.
ما هو واضح هو أن تعرض الشبكة ليس نظريًا. الهجوم في أبريل لم يكن إثباتًا للمفهوم أو عرضًا توضيحيًا من باحث — كان محاولة حقيقية، ونجحت بما يكفي لتتطلب إعادة تنظيم لـ 13 كتلة لإلغائها. إذا جاءت محاولة مشابهة اليوم، فمن المحتمل أن يكتشفها المعدنون قبل أن تصبح دائمة. لكن “من المحتمل” ليست نفسها “بالتأكيد”، والعقد التي لا تزال تعمل على الإصدار v0.21.4 تضيف عدم يقين حقيقي إلى تلك الصورة.
لطالما كافحت الشبكات اللامركزية مع الترقيات المنسقة. إنها مشكلة معروفة، ليست فريدة من نوعها للايتكوين. لكن المخاطر تكون أعلى عندما تكون الثغرة التي يتم تصحيحها قد استُغلت بالفعل في الواقع، وليس فقط مكتشفة نظريًا. التصحيحات موجودة. إنها تعمل. إدخالها على الـ 70% الأخرى من العقد هو الجزء الذي لم يحله أحد بعد.
أصدرت فريق لايتكوين كور الإصدار v0.21.5.5 في أوائل مايو.
الأسئلة الشائعة
ما الذي تسبب في ثغرة الإنفاق المزدوج في لايتكوين؟
ثغرة في كيفية تعامل لايتكوين كور مع معاملات MimbleWimble Extension Block (MWEB) سمحت لمعاملة سيئة التكوين باستخدام إدخال صغير لدعم سحب أكبر بكثير، مما أدى فعليًا إلى خلق لايتكوين غير شرعي.
كيف أوقفت لايتكوين هجوم الإنفاق المزدوج في أبريل 2026؟
نفذت الشبكة إعادة تنظيم طارئة لـ 13 كتلة عكست المعاملات الاحتيالية بعد أن استغل المهاجم ثغرة MWEB وسحب العملات إلى منصات خارجية.
