السبب كان ان منصة
BISQ
عملت تحديث لنظام المنصة، هذا التحديث تضمن تحويل العملات المعروضة بعد ان انتهى وقت عرض الاعلان الى محفظة تمتلكها المنصة
في برمجة المنصات هذا العنوان يسمى
refund address
ولاكن السؤال لماذا لم يكن هناك حواجز تشفير على هذا العنوان اي لايمكن تغيره في ال
Back-end
الا عن طريق فك ٣ حواجز لتشفير. ان كان العنوان يتم تحديثه بشكل مستمر اي اوتوماتيكي
(Auto generate address)
يجب ان يكون هناك تشفير لوضعه ايضاً. انا اعتقد انه عمل داخلي ولم يتم تغير التشفير لمدة طويلة.
طريقة التشفير ومفتاح التشفير يجب ان يتم تحديثهم بشكل استمراري. حتى اذا كان احد المبرمجين نواياه ليست جيدة واستقال من التطوير لن يتمكن من فك التشفير.
سيتضح موضوع منصة بيسك اكثر في الايام القادمة.
تحديث: المنصة قامت بإلغاء احد المفاتيح مما تسبب في هذا الاختراق الأخير. الخطوة كانت لدعم المزيد من الامركزية ولاكن ماذا عن التشفير الاحتياطي ٣ او اكثر حواجز لماذا لم يكون هذا الشيء موجود بشكل متجدد ومستمر. أظن انه عمل داخلي بحت. دعم اللامركزية اكثر عبر فتح الحماية؟ هذا يدل على عدم المسؤولية.
هذا رأي الخاص. تحليلي تم عن طريق قرأة اخبار منصة BISQ
التحليل التقني صادر عن خبرتي التقنية في التطوير.
Topic: اختراق منصة bisq (Read 152 times)
منذ حوالي سنة ( لااذكر تحديدا) وبحديث حول المحافظ, دخلت في نقاش مع الاخ omega حول محفظة Coinomi في كون الاصدار الاخير المحدث لم يصبح مفتوح المصدر, فحوى النقاش كان حول تبرير المشاريع المغلقة المصدر لعدم تعميم الكود الخاص بهم, او اخفاء اجزاء منهم اما في back-end او front-end والعذر هوا "الخوف من ايجاد ثغرات في الكود".
اعتقد اني اوضحت في وقتها ان هدا "العذر" منطقي جدا بالنسبة لي, فكل شي مفتوح المصدر يعثبر سلاح ذو حدين, فهوا يحميك من "مالك المحفظة او المنصة" ولكن يجعلك اكثر عرضة " للهاكرز", ولايوجد اجابة مطلقة حول ايهما افضل, لانه يوجد قصة تانية من الطرفين وهي ان المصادر المفتوحة تتيح للمبرمجين التعاون في حماية الكود عبر اكتشاف ثغرات فيه وتصحيحها ( او استغلالها طبعا), والمصدر المغلق ايضا غير محمي 100% من الاختراق ولكنه فقط يكون اصعب في معظم الاحوال.
لذلك نظرا لانه لايوجد جواب لايهما افضل, فهده القاعدة التي طرحها هيوج تعتبر احد اهم النقاط التي يجب اخدها في الاعتبار
اعتقد اني اوضحت في وقتها ان هدا "العذر" منطقي جدا بالنسبة لي, فكل شي مفتوح المصدر يعثبر سلاح ذو حدين, فهوا يحميك من "مالك المحفظة او المنصة" ولكن يجعلك اكثر عرضة " للهاكرز", ولايوجد اجابة مطلقة حول ايهما افضل, لانه يوجد قصة تانية من الطرفين وهي ان المصادر المفتوحة تتيح للمبرمجين التعاون في حماية الكود عبر اكتشاف ثغرات فيه وتصحيحها ( او استغلالها طبعا), والمصدر المغلق ايضا غير محمي 100% من الاختراق ولكنه فقط يكون اصعب في معظم الاحوال.
لذلك نظرا لانه لايوجد جواب لايهما افضل, فهده القاعدة التي طرحها هيوج تعتبر احد اهم النقاط التي يجب اخدها في الاعتبار
Quote
قاعدة ذهبية: كلما كان الفريق المطور للمحفظة/العملة/المنصة نشطا ويقوم بالكثير من التحديثات مع خبرة فنية كبيرة وجذب للكثير من المطورين الجدد كلما كانت تلك المحفظة/العملة/المنصة اكثر امانا.
هذه الأحداث ستساعدنا أكثر لتفادي الأخطاء البرمجية للمنصات التي يمكن إستغلالها من طرف المخترقين بكل سهولة. لذا قبل إنضمامنا إلى أي منصة مركزية أو لامركزية يجب البحث على الإدارة الفنية للمنصة و هل تملك خبراء يعول عليهم و هل لديهم مصداقية....المقالة تقول بأن المخترق إستغل ثغرة أمنية و تمكن من حصاد أكثر من ربع مليون دولار. و لكن يبقى الإشكال المطروح الهجوم الذي تعرضت له المنصة أدى إلى فقدان المال للكثير من عملائها، هل المنصة قادرة على تعويض الخسائر المادية؟ و في حالة قامت المنصة بتعويض مستخدميها هل سيؤثر على سمعتها بمعنى ستجعل المتداول يشعر بالراحة بالإنضمام إلى منصتهم. يجب ملاحقة الأخبار الصادرة من المنصة و تقييمها. ما دمنا نؤمن باللامركزية يجب مراقبة حركات مرورها 
الحقيقة لقد ذكرت في احد تعليقاتي السابقة عن ان المنصات المركزية بكونها مركزية يسهل اختراقها و لكن هنا ارى العكس .. صحيح هو ليس اختراق بمعناه الحرفي بل هو استغلال لثغرة امنية موجودة كميزة في المنصة لكن المخترقين الغير أخلاقيين لن تمر هكذا فرصة بدون استغلالها ..
هدا ليس مقياساً بل درساً وجب على المنصات اللامركزية مفتوحة المصدر تجنبها
هدا ليس مقياساً بل درساً وجب على المنصات اللامركزية مفتوحة المصدر تجنبها
شخصيا, انا ضد افتراض هذه العملية كاختراق ولكن المقام هنا للتذكير: طلما انك لا تستطيع قراءة الكود المصدري والتحقق من كل سطر برمجي فلا تثق باي شئ ثقة مطلقة, كون المحفظة او المنصة مفتوحة المصدر او ان الجميع يوصونك باستخدامها فهذا لا يعني انك بامكان, يمكن للهاكرز ان يجدوا ثغرات امنية وبالتالي اختراق اموالك.
وفي رأي انّه لا يمكننا القول على ان العيب من المنصات اللامركزية بسبب حدوث الاختراق فبحسب ما قرأت ان الثغرة بسبب خطأ برمجي في هذه المنصة بالتحديد
كما ان الكمية التي تم سرقتها ليست بكبيرة بالنسبة للاختراقات التي حصلت من قبل واظن هذا سيساعد باقي المنصات اللامركزية للبحث في نظامها عن ثغرات وتطوير ذاتها
السلام عليكم ورحمة الله وبركاته
لمن لا يعرف منصة bisq فهي منصة لامركزية مفتوحة المصدر, تمكنك من اجراء عمليات التحويل بين البيتكوين وبقية العملات دون الحاجة للتحقق من الهوية وبالنظر لانها مفتوحة المصدر يمكن لاي احد التحقق من الكود ويمكن للجميع استخدامها في الدول العربية وبالتالي فهي الحل السحري لكل من يريد اجراء التحويلات. لربما الكابوس الوحيد هو قله احجام التداول.
للاسف , هذا الحلم الجميل قد استفاق علي صدمة حيث تمكن احد المخترقين من استغلال ثقة امنية في النظام وتمكن من الاستيلاء علي حوالي ربع مليون دولار وذلك باجراء تداول مع مستخدمين اخرين وتعديل عنوان refund لتتم ارسال العملات للمخترق مباشره وبالتالي كسب المال مجانا.
للمزيد من المعلومات: https://www.coindesk.com/hacker-exploits-flaw-in-decentralized-exchange-bisq-to-steal-250k
شخصيا, انا ضد افتراض هذه العملية كاختراق ولكن المقام هنا للتذكير: طلما انك لا تستطيع قراءة الكود المصدري والتحقق من كل سطر برمجي فلا تثق باي شئ ثقة مطلقة, كون المحفظة او المنصة مفتوحة المصدر او ان الجميع يوصونك باستخدامها فهذا لا يعني انك بامكان, يمكن للهاكرز ان يجدوا ثغرات امنية وبالتالي اختراق اموالك.
قاعدة ذهبية: كلما كان الفريق المطور للمحفظة/العملة/المنصة نشطا ويقوم بالكثير من التحديثات مع خبرة فنية كبيرة وجذب للكثير من المطورين الجدد كلما كانت تلك المحفظة/العملة/المنصة اكثر امانا.
Jump to: