درجة ثقة المجتمعLikely Real
خطأ خطير. اكتشفت فريق أمان بروتوكول إيثريوم CVE-2026-34219 في 9 يوليو، وهو خطير بما يكفي ليحتاج المشغلون الذين يستخدمون Rust libp2p-gossipsub تحت الإصدار v0.49.4 إلى التحديث فورًا — دون انتظار أو جدولته للأسبوع المقبل.
يقع الخلل داخل معالج انتهاء صلاحية التراجع في gossipsub، وهي طبقة الرسائل من نظير إلى نظير التي تحافظ على تواصل عقد إيثريوم مع بعضها البعض. عندما يرسل نظير غير موثوق به رسالة PRUNE مصممة بعناية تحمل قيمة تراجع قريبة من الحد الأقصى، فإنها تؤدي إلى حسابات غير محققة. والنتيجة هي حالة ذعر — أساسًا تعطل صعب. رسالة واحدة. تعطل واحد. ولأن المهاجم يمكنه إعادة الاتصال وإعادة تشغيل تلك الرسالة نفسها في كل مرة تعود فيها العقدة للعمل، فإنها تعتبر سلاحًا فعالًا من حيث التكلفة لحرمان الخدمة. تحمل الثغرة درجة أساسية في CVSS v3.1 تبلغ 8.2، مما يضعها بقوة في فئة الشدة العالية. لا تتطلب أي امتيازات. ناقل هجوم الشبكة. مزيج قبيح.
الإصلاح موجود في libp2p-gossipsub v0.49.4، الذي يضيف فحص الحدود لوقف الفائض تمامًا.
وكلاء الذكاء الاصطناعي اكتشفوا الخطأ — ليس تدقيقًا بشريًا
إليك الجزء الذي يختلف حقًا في هذا الإفصاح. قال نيكوس باكسيفانيس من مؤسسة إيثريوم إن العديد من وكلاء الذكاء الاصطناعي عملوا بشكل متوازٍ لاكتشاف CVE-2026-34219. لم يكن هؤلاء الوكلاء يتبعون نصًا قدمه لهم موزع مركزي. لقد استكشفوا برامج أنظمة إيثريوم والشفرة التشفيرية بأنفسهم، وتولوا أدوارًا ديناميكية — الاستطلاع، البحث، التحقق — بناءً على ما تتطلبه العمل في أي لحظة معينة.
تم تصميم النهج على غرار عمل Anthropic في مجال المترجمات القائمة على الأسطول. يهم هذا الإطار، لأنه لم يكن مجرد استخدام الذكاء الاصطناعي كأداة بحث. كان الذكاء الاصطناعي بمثابة فريق من المحققين الذين يفرزون كميات هائلة من الشفرة، ويقومون بفرز الأدلة، والأهم من ذلك، التحقق مما إذا كان يمكن إعادة إنتاج خطأ مرشح قبل أن يسميه أي شخص اكتشافًا حقيقيًا.
هذا الجزء الأخير هو المكان الذي ينهار فيه الكثير من أدوات الأمان الآلية. الإيجابيات الكاذبة مكلفة. إذا أشار الذكاء الاصطناعي إلى 500 مشكلة محتملة وكان 480 منها ضوضاء، فإن فريق الأمان يحترق في مطاردة الأشباح. تطلبت طريقة مؤسسة إيثريوم تأكيد الخطأ فقط عندما يمكن إعادة إنشائه كأداة مكتفية ذاتيًا تظهر الفشل في الشفرة الواقعية. هذا معيار مرتفع، وربما يكون السبب في أن نسبة الإشارة إلى الضوضاء هنا تبدو قوية.
اثنان من CVEs في نفس النظام الفرعي — هذا نمط
لم يظهر CVE-2026-34219 في عزلة. يتبع CVE-2026-33040، وهو ثغرة سابقة كانت أيضًا في معالجة PRUNE والتراجع في libp2p. اثنان من الأخطاء ذات الشدة العالية في نفس النظام الفرعي، على التوالي — هذا ليس حظًا سيئًا عشوائيًا. ربما يعني أن سطح رسائل التحكم في gossipsub لديه نقاط ضعف هيكلية لم يتم تنظيفها بالكامل بعد.
إفصاح مؤسسة إيثريوم يقول ذلك بشكل أساسي. يجري تعزيز منهجي لتلك الطبقة، لكن اليقظة المستمرة لا تزال مطلوبة. وهو طريقة مهذبة للقول: لا تفترض أن الإصدار v0.49.4 هو آخر تحديث ستحتاج إليه في هذا المجال.
الجدير بالذكر أن هذه الثغرة ليست مجرد مشكلة إيثريوم. أي تطبيق يستخدم مكتبة Rust libp2p الضعيفة في الإنتاج معرض للخطر — بغض النظر عما إذا كان متصلًا بإيثريوم أم لا. النطاق أوسع مما توحي به العناوين الرئيسية.
بالنسبة لمجتمع الأمان الأوسع، فإن طريقة الاكتشاف المدفوعة بالذكاء الاصطناعي ربما تكون القصة الأكثر إثارة للاهتمام. عمليات تدقيق العقود الذكية كانت ممارسة قياسية في العملات الرقمية لسنوات. شفرة الشبكات على مستوى البروتوكول — طبقات الهمس، آليات اكتشاف الأقران، الأشياء المنخفضة المستوى للنقل — حصلت تاريخيًا على اهتمام أقل منهجيًا. من الصعب تدقيقها، أقل جاذبية، وتميل الأخطاء إلى أن تكون دقيقة. أسطول ذكاء اصطناعي يمكنه مضغ هذا النوع من الشفرة والإشارة إلى حالات الحافة الحسابية في معالجات التراجع مفيد حقًا بطريقة تكافح المراجعة اليدوية لمطابقتها على نطاق واسع.
نظام إيثريوم البيئي يعمل على آلاف من مشغلي العقد المستقلين، بدءًا من المدققين الفرديين الذين يديرون الأجهزة في المنزل إلى عمليات الرهان المؤسسية الكبيرة. ليس جميعهم يقومون بالتحديث بسرعة. بعضهم يستخدم إصدارات مخصصة. بعضهم بطيء في تحديث التبعيات. هذا هو بالضبط نوع قاعدة المشغلين المجزأة التي تجعل استغلال التعطل المتكرر منخفض الجهد خطيرًا — لا يحتاج المهاجم إلى ضرب الجميع، فقط عدد كافٍ من العقد لتدهور أداء الشبكة أو التسبب في اضطرابات محلية.
لم يحدد باكسيفانيس وفريق أمان البروتوكول المدة التي كانت الثغرة موجودة قبل اكتشافها، وليس من الواضح ما إذا كانت هناك محاولات استغلال قد تم اكتشافها في البرية قبل إصدار التحديث. لا توجد تفاصيل في هذا الجانب.
مسار الترقية بسيط للمشغلين الذين يواكبون تبعيات Rust libp2p: الانتقال إلى الإصدار v0.49.4، الحصول على فحص الحدود، وإغلاق الثغرة. بالنسبة لأي شخص يستخدم إصدارات أقدم عبر عمليات نشر متعددة، الحساب على المخاطر بسيط — رسالة مصممة واحدة، صفر امتيازات، تعطل متكرر.
libp2p-gossipsub v0.49.4 متاح الآن.
المحور: سعر إيثريوم، الأخبار، والتحليل
الأسئلة الشائعة
ما هو CVE-2026-34219 ولماذا يهم مشغلي عقد إيثريوم؟
CVE-2026-34219 هو خطأ ذو شدة عالية (CVSS 8.2) في معالج التراجع PRUNE في libp2p gossipsub الذي يتيح لأي نظير غير موثوق به تعطل عقدة ضعيفة برسالة خبيثة واحدة، مما يجعله أداة عملية لحرمان الخدمة ضد عقد إيثريوم غير المحدثة.
أي إصدار من البرنامج يقوم بإصلاح ثغرة CVE-2026-34219؟
Hub: Ethereum : السعر والأخبار والتحليل
يجب على المشغلين الترقية إلى libp2p-gossipsub v0.49.4، الذي يضيف فحص الحدود لمنع الفائض الحسابي الذي يسبب التعطل.





