محللو الأمن السيبراني يجدون ثغرة ازدواج انفاق في تيثر

عثرت شركة "سلو ميست" الصينية الخاصة للأمن الإلكتروني على ثغرة إنفاق مزدوج في تيثر (USDT) يوم ٢٨ يونيو.

حيث أوضحت "سلو ميست" في تغريدة أنها تمكّنت من إرسال USDT إلى بورصة لم تذكر اسمها بدون قيم الحقل الصحيحة على المعاملة. وهذا يعني أنه قد تتم محاسبة الأفراد على التوكنات دون إرسالها فعليًا، مما يؤدي إلى إنفاق مضاعف. وبعد تغريدة من سلو ميست، قدّم مؤسس أومنيليار OmniLayer، وهي المنصة التي تم إنشاء توكنات USDT عليها، تفسيرًا للخطأ قائلًا:

"يبدو أن ما حدث هنا هو أن البورصة لم تكن تحقق من العلامات الصحيحة على المعاملات. فقد قبلت معاملة مع valid=false (والتي لم يكن ينبغي أن يقبلوها)، ومن ثم كان لمعاملة "الإنفاق المزدوج" الثانية قيمة valid=true، والتي قبلوها أيضًا. وما لم أكن قد فوّت شيئًا، فإن هذا مجرد تكامل ضعيف في البورصة".

وقد نشر موقع مراقبة العملات الرقمية "كريبتوميديكيشن CryptoMedication" صورةً للخطأ.

Image

كما نشرت ثاني أكبر بورصة في العالم من حيث حجم التداول، أوكي إكس، بيانًا بشأن الخطأ. حيث قالت البورصة إنها أجرت سلسلة من الاختبارات عندما تم إخطارها بالثغرة من قبل سلو ميست، وبعد ذلك حددت أن أوكي إكس "غير معرضة للثغرة".

ووفقًا لكريبتوميديكيشن، تحمل ثغرة قابلية الإنفاق المزدوج تداعيات خطيرة حيث "من الممكن أن يكون هذا قد تم استغلاله إلى ما لا نهاية". ويضيف كريبتوميديكيشن أنه "يبدو أنه مشكلة بورصة ... وليست مشكلة في تيثر ..."