الدعم الوثائق

رسوم معاملات ضخمة في BTC والتطبيقات القائمة على BTC

تم العثور على نقطة ضعف في تطبيق بيتكوين والتطبيقات القائمة على بيتكوين التي تستخدم دعم Segwit بما يسمح للمهاجم بزيادة رسوم المعاملات دون أن يلاحظ المستخدم ذلك.

من غير المحتمل تماماً استخدام نقطة الضعف هذه في الممارسة العملية لأنها تسمح فقط بزيادة رسوم المعاملات، ولا يمكن سرقة العملات. تتوفر مزيد من المعلومات حول نقطة الضعف في Ledger Security Bulletin [نشرة الأمان من Ledger] هذه.

يُوصى المستخدمون بالتحديث إلى الإصدار 2.4.1 من Ledger Live لسطح المكتب وتحديث تطبيق Ledger Bitcoin إلى الإصدار 1.4.0 في المدير (Manager)، وتحتوي هذه التحديثات على إصلاح لنقطة الضعف.

الأسئلة الشائعة

كيف يمكن للمهاجم استغلال نقطة الضعف هذه؟
عملية الهجوم تتطلب أن يكون تطبيق العميل مخترق. يمكن تحقيق ذلك عن طريق خداع المستخدمين لتثبيت إصدار مزيف من Ledger Live أو أي تطبيق محفظة آخر. بعد ذلك، أثناء إجراء معاملة من خلال إدخال Segwit واحد على الأقل، يجب أن يُخدع المستخدم بإجراء معاملات متعددة حيث يتم بعد ذلك دمج المدخلات. قد يبث المهاجم بعد ذلك معاملة إلى الشبكة برسوم أعلى بكثير للمعاملة.

هل تم استغلال نقطة الضعف هذه؟
لم نطلع على أي تقارير تفيد استغلال نقطة الضعف هذه في محافظ Ledger أو في أي محافظ أخرى. من غير المحتمل تماماً أن يحاول شخص ما استغلالها لعدم تمكن المهاجم من سرقة أي نقود بشكل مباشر.

كيف أحمي نفسي من نقطة الضعف هذه عند استخدام Ledger Live؟
إذا كنت تستخدم Ledger Live فقط، فيجب عليك تحديثه وتثبيت أحدث تطبيق بيتكوين. هذا الإجراء سيحميك من أي شخص يحاول استغلال نقطة الضعف هذه. 

  1. الخروج من تطبيق Ledger Live لسطح المكتب وإعادة تشغيله.
  2. انقر فوق Download now [تنزيل الآن]  في شريط إشعارات التحديث (والذي قد يستغرق بضع لحظات حتى يظهر). يمكنك أيضاً تنزيل الإصدار 2.4.1 وتثبيته مباشرة.
  3. انتقل إلى المدير (Manager) وانقر على الزر Update All [تحديث الكل] لتحديث جميع التطبيقات على جهاز Ledger الخاصة بك. سيقوم جهازك الآن بتشغيل الإصدار 1.4.0 من تطبيق بيتكوين.

كيف أحمي نفسي من نقطة الضعف هذه عند استخدام محفظة طرف ثالث؟
يجب عليك تثبيت أحدث تطبيق بيتكوين في المدير (Manager). عندما تقوم بإجراء معاملة من الممكن استغلالها، سيتم عرض تحذير على جهاز Ledger الخاصة بك. وسيكون أمامك خيارين إما إلغاء المعاملة أو المتابعة رغم التحذير.

نحن ننصحك بالتواصل مع مطوري محفظة الطرف الثالث لمطالبتهم بتحديث LedgerJS لإصلاح نقطة الضعف من جانبهم.