كان شهر يونيو شهرًا حافلًا بـتحديثات تقنية البلوكشين، حيث عمل المطورون على سد ثغرات الخصوصية، وإعادة جدولة الترقيات الكبرى، ودفع مقترحات مقاومة الحوسبة الكمية، والتسابق لتعزيز الأمان في مواجهة موجة متصاعدة من هجمات سلسلة التوريد. من بيتكوين كور إلى إيثريوم، ومن زي كاش إلى بوليجون، يتسارع إيقاع التغييرات على مستوى البروتوكول — وبعض القرارات المتخذة الآن ستحدد كيفية صمود هذه الشبكات خلال العقد القادم.
Summary
أهم النقاط
- Bitcoin Core 31.1 يصلح ثغرة خصوصية في ميزة -privatebroadcast في الإصدار 31.0 كانت قد تؤدي إلى كشف عنوان IP لمنشئ المعاملة.
- تم تأجيل ترقية Glamsterdam لإيثريوم إلى النصف الثاني من العام؛ بينما يستهدف الهارد فورك Hegotá أواخر 2026/بداية 2027.
- EIP-8182، وهو مقترح للتحويلات الخاصة الأصلية، تم اقتراحه رسميًا للإدراج في الهارد فورك Hegotá.
- يتوقع الرئيس التنفيذي لـ Consensys جوزيف لوبين أن تصبح إيثريوم بروتوكولًا قائمًا بالكامل على براهين المعرفة الصفرية خلال 3 إلى 5 سنوات.
- Polygon zkEVM Mainnet Beta ستتوقف عن العمل في 1 يوليو 2026 — يجب على المستخدمين سحب الأصول قبل الموعد النهائي.
- أكد فريق أمان SlowMist وجود أنواع من البرمجيات الخبيثة نشطة عبر 23 حزمة npm، مع 408 مستودعات على GitHub تحتوي على بيانات اعتماد مسروقة.
- شريحة مايكروسوفت الكمية Majorana 2 يُقال إنها أكثر موثوقية بـ 1000 مرة من سابقتها، مع متوسط عمر كيوبت يبلغ 20 ثانية.
Bitcoin Core يصلح ثغرة خصوصية في الإصدار v31.1
تم الكشف هذا الشهر عن خلل كامن داخل ميزة -privatebroadcast الجديدة في Bitcoin Core — وكانت تبعاته على المستخدمين المهتمين بالخصوصية أكثر دقة من معظم إعلانات الثغرات. احتوى الإصدار 31.0 على ثغرة يمكن، في ظل ظروف شبكة محددة، أن تؤدي إلى كشف عنوان IP لمنشئ المعاملة للعقدة المستقبِلة.
كيف يحدث تسرب عنوان الـ IP فعليًا
تظهر الثغرة عندما تختار ميزة البث الخاص عقدة IPv4 أو IPv6 تدعم نقل BIP324 v2. إذا فشل التفاوض (handshake) لإصدار v2، يعود Bitcoin Core إلى محاولة اتصال v1 — لكن هذا الاتصال المعاد يتجاوز وكيل Tor بالكامل، ويُنشئ اتصال IPv4 أو IPv6 مباشرًا مع النظير. النتيجة: ميزة صُممت لتعزيز الخصوصية تنتهي بفعل العكس في ظل ظروف تراجع معينة.
نطاق التأثير محدد. العقد التي تشغّل Bitcoin Core 31.0 مع تفعيل -privatebroadcast، وتبث المعاملات عبر استدعاء sendrawtransaction في واجهة RPC، وقادرة على إنشاء اتصالات صادرة مباشرة عبر IPv4/IPv6، تكون معرضة للخطر. اتصالات Wallet RPC، وonion، وI2P غير متأثرة.
قبل الترقية إلى الإصدار 31.1، ينصح Bitcoin Core المستخدمين المعنيين إما بتعطيل -privatebroadcast، أو تعطيل نقل v2، أو توجيه حركة الخروج عبر IPv4/IPv6 من خلال Tor. إصدار المرشح للإطلاق 31.1rc1 متاح بالفعل للاختبار على الموقع الرسمي لـ Bitcoin Core ويتضمن إصلاحات عبر وحدات التحقق، وشبكة P2P، وترحيل المحافظ، وMuSig، ونظام البناء، والاختبارات، وCI.
بشكل منفصل، فتح المطور rkrux نقاشًا حول إزالة الإشارة الصريحة إلى Replace-by-Fee (RBF) من محفظة Bitcoin Core، مجادلًا بأن إشارات BIP 125 أصبحت زائدة الآن بعد أن أصبح full-RBF سياسة قياسية وقد تترك بصمات غير ضرورية على السلسلة. عضو المجتمع Murch اعترض، مشيرًا إلى أن إيقاف إشارات قابلية الاستبدال ليس مجرد إزالة للبصمات — إذ لا يزال على كل مرسل اختيار رقم تسلسل لكل مُدخل، مع استخدام حوالي 75% من المعاملات لأرقام تسلسل محددة، في الغالب MAX-2.
إيثريوم تؤجل Glamsterdam وتدفع مقترحات الخصوصية قدمًا
خط تطوير إيثريوم يتحرك على عدة جبهات، لكن الخبر الأكثر إلحاحًا هو تغيير في الجدول الزمني: تمت إعادة جدولة ترقية Glamsterdam — التي تستهدف الوصول إلى أقصى توسّع للطبقة الأولى (L1) وعدالة MEV — إلى النصف الثاني من العام. لا تزال تكرارات Devnet-5 وDevnet-6 قيد التقدم، مع تطوير تدابير مضادة ضد EIP جديدة بشكل نشط. أكد المطور الأساسي Terence أن Glamsterdam devnet-6 قد تم إطلاقها، ما يمثل تقدمًا مهمًا نحو نشرها على testnet.
مقترح سجل مفاتيح عامة لما بعد الحوسبة الكمية
نشر باحثا إيثريوم توماس كوراتجيه وتوم وامبسغانز إطار عمل لإنشاء سجل مفاتيح عامة لما بعد الحوسبة الكمية للمصدّقين — مسار هجرة مرحلي بعيدًا عن تواقيع BLS نحو مخططات توقيع آمنة ضد الحوسبة الكمية. يتصور النهج أولًا فوركًا لإنشاء السجل، يسمح للمصدّقين بتسجيل مفاتيحهم العامة لما بعد الحوسبة الكمية مسبقًا، يتبعه عدة فوركات لاحقة قبل أن يتم التحويل رسميًا إلى آلية التوقيع الجديدة.
المرشح الأبرز هو مخطط التوقيع القائم على الهاش XMSS، الذي يوفر مفتاحًا عامًا مدمجًا بحجم 52 بايت — رغم أن التوقيع الواحد يبلغ حجمه حوالي 3,112 بايت. معالجة هذا العبء ستتطلب leanVM وتجميع SNARK لما بعد الحوسبة الكمية. هذه ليست ترقية قريبة المدى، لكن حقيقة أن باحثي إيثريوم يحددون بالفعل معمارية الهجرة تشير إلى مدى جدية الشبكة في التعامل مع تهديد الحوسبة الكمية.
مقترح EIP-8182 للتحويلات الخاصة الأصلية لترقية Hegotá
تم تطوير EIP-8182 بواسطة توم ليهمان، وقد تم اقتراحه رسميًا للإدراج في الهارد فورك Hegotá — وهي الترقية التي تستهدف مقاومة الرقابة، وتعزيز الخصوصية، وتقليل عبء العقد، والمقررة حاليًا لإطار أواخر 2026/بداية 2027.
يهدف المقترح إلى جلب الخصوصية بشكل أصيل إلى الطبقة الأساسية لإيثريوم دون رسوم إضافية، أو حوكمة بالرموز، أو تنسيق multi-sig. يستخدم عقود نظام ذات عناوين ثابتة وعمليات ما قبل التجميع للتحقق باستخدام ZK لإنشاء حوض إخفاء هوية مشترك على مستوى البروتوكول يمكن لجميع المحافظ والتطبيقات الوصول إليه. هذا الحوض المشترك مهم: تطبيقات الخصوصية المجزأة حاليًا تقسم السيولة ومجموعات إخفاء الهوية عبر تطبيقات منفصلة، ما يضعف ضمانات الخصوصية العملية للجميع. من خلال تضمين الخصوصية في الطبقة الأولى (L1)، سيكسر EIP-8182 هذا التجزؤ دون الحاجة إلى تغييرات على مستوى التطبيقات.
دخل المقترح في منافسة على مكان في جدول الهارد فورك الخاص بالمطورين الأساسيين — وهي عملية تتضمن نقاشًا تقنيًا ومجتمعيًا كبيرًا قبل إقرار أي شيء نهائيًا.
الرئيس التنفيذي لـ Consensys حول مستقبل إيثريوم المعتمد على براهين المعرفة الصفرية
قدّم الرئيس التنفيذي لـ Consensys جوزيف لوبين رؤية بعيدة المدى، قائلًا إن إيثريوم يمكن أن تصبح بروتوكولًا قائمًا بالكامل على براهين المعرفة الصفرية خلال 3 إلى 5 سنوات. أشار لوبين إلى شبكات الطبقة الثانية التي تحقق بالفعل توليد براهين ZK في الوقت الفعلي كدليل على أن التقنية تنضج بسرعة كافية للوصول إلى الطبقة الأولى. يتصور مستقبلًا تدعم فيه عدة مولدات براهين (provers) مُتحقق منها رسميًا إيثريوم على الطبقة الأساسية، ما يمكّن في النهاية من بيئة تنفيذ ذرية واحدة بلا جسور توحّد السيولة المجزأة.
تطرق لوبين أيضًا إلى الهيكل المستقبلي لمؤسسة إيثريوم، موضحًا أنه لن يكون هناك “مؤسسة ثانية” — بل ستنبثق على الأقل ثلاث مجموعات من المؤسسة الحالية، تركز على عمل البروتوكول الأساسي، وقابلية الاستخدام والتوسع، والتواصل مع المؤسسات على التوالي.
تطورات الطبقة الثانية لإيثريوم وإيقاف Polygon zkEVM
شهد نظام الطبقة الثانية لإيثريوم هذا الشهر عمليات إطلاق جديدة ومواعيد نهائية صارمة. التطور الأكثر إلحاحًا للمستخدمين الحاليين هو توقف Polygon zkEVM Mainnet Beta عن العمل في 1 يوليو 2026 — ما يترك حوالي أسبوعين للمستخدمين لاتخاذ الإجراءات.
إطار الخصوصية STRK20 من Starknet
أطلقت Starknet إطار STRK20، وهو إطار خصوصية قائم على براهين المعرفة الصفرية يمكّن أي أصل ERC20 داخل الشبكة من دعم الأرصدة الخاصة والتحويلات السرية. على عكس خالطات العملات التقليدية، يدمج STRK20 وظائف الخصوصية مباشرة في تدفق الأصل بدلًا من توجيه المعاملات عبر طبقة خلط منفصلة. يتضمن الإطار آلية مفاتيح العرض (Viewing Keys)، التي تسمح للمستخدمين بالكشف الانتقائي عن بيانات المعاملات لأغراض الامتثال. أول أصل يتبناه هو strkBTC.
يمكن تطبيق الإطار عبر التحويلات، والتداول، والإقراض، والتخزين (staking)، والمدفوعات — وهو نطاق واسع يشير إلى أن Starknet تضع STRK20 كبنية تحتية لا كميزة فقط.
توقف Polygon zkEVM Mainnet Beta عن العمل
Polygon zkEVM Mainnet Beta ستتوقف رسميًا عن العمل في 1 يوليو 2026. سيتم ترحيل الأصول المحتفظ بها في المحافظ التي لم تُكمل عمليات التحويل عبر السلاسل تلقائيًا إلى شبكة إيثريوم الرئيسية ويمكن المطالبة بها عبر واجهة مخصصة. ومع ذلك، لا يمكن ترحيل الأصول المقفلة في بروتوكولات DeFi تلقائيًا — يجب على هؤلاء المستخدمين سحب مراكز مزودي السيولة (LP) والأصول يدويًا قبل الموعد النهائي أو المخاطرة بفقدان الوصول إليها بشكل دائم.
في الوقت نفسه، نشرت شبكة Base من الطبقة الثانية ترقية Beryl على شبكة Base Sepolia التجريبية، مع التخطيط لتفعيلها على الشبكة الرئيسية في 25 يونيو. تقدم Beryl معيار الرمز B20 لإصدار العملات المستقرة وغيرها من الأصول بشكل أصيل داخل برمجيات عقد Base، وتقصّر نافذة السحب من Base إلى إيثريوم من 7 أيام إلى 5 أيام، وتُدخل Reth V2 لتقليل حجم مساحة القرص للعقد.
ترقية Ironwood في Zcash وتحسينات أمان الشبكة
تستعد Zcash لترقية كبيرة للشبكة تهدف إلى معالجة واحدة من أخطر الثغرات التي ظهرت على بلوكشين يركز على الخصوصية هذا العام.
Ironwood تستهدف حوض الخصوصية Orchard
من المخطط تفعيل ترقية Ironwood في Zcash في يوليو، وهي مصممة لإصلاح ثغرات في حوض الخصوصية Orchard كانت تهدد سابقًا ضمانات العرض الثابت للشبكة. كانت مؤسسة Zcash قد أصدرت بالفعل Zebra 4.5.3 و5.0.0 كاستجابات طارئة — حيث عطّلت Zebra 4.5.3 مؤقتًا إجراءات Orchard على الشبكة الرئيسية عبر سوفت فورك طارئ عند ارتفاع الكتلة 3,363,426، بينما فعّلت Zebra 5.0.0 الهارد فورك NU6.2 عند ارتفاع الكتلة 3,364,600، مع إعادة تفعيل Orchard بدائرة مصححة. أكدت المؤسسة أن الثغرة اكتُشفت قبل أي استغلال معروف وأنه لم يحدث أي إنشاء غير مصرح به للقيمة.
تذهب Ironwood إلى أبعد من ذلك. ستقدم حوض خصوصية جديدًا مُصححًا وتُخرج الحوض القديم تدريجيًا من الخدمة. عند الاكتمال، سيتمكن المستخدمون والعقد من تجميع الأرصدة من كلا الحوضين للتحقق بشكل مستقل من أن إجمالي ZEC المتداول لا يتجاوز الحد الأقصى الصلب البالغ 21 مليون عملة — ما يعيد الثقة اللامركزية في آلية عرض Zcash.
أكد مطور Zcash الأساسي شون بو أن ما لا يقل عن ثلاث شركات تدقيق كبرى تراجع دائرة Orchard، وأن عدة أدوات تدقيق بالذكاء الاصطناعي تفحص قاعدة الشفرة، وأن العمل على التحقق الشكلي يتقدم. أطلقت مجموعة Valar شبكة اختبار وبدأت في تنفيذ تغييرات على مستوى المحافظ. ووفقًا لبو، فإن التقدم يسير بسلاسة حاليًا.
تنبيهات أمان وتطورات في الحوسبة الكمية
هناك تطوران هذا الشهر يقعان على طرفي نقيض من خط التهديد الزمني: أحدهما هجوم نشط يحدث الآن في نظام npm البيئي، والآخر إنجاز في عتاد الحوسبة الكمية لا يزال نظريًا بالنسبة لأمن البلوكشين — لكنه يتقدم أسرع مما توقع كثيرون.
تحذير SlowMist من برمجيات خبيثة في npm تستغل بيانات اعتماد مطورين مسروقة
أصدر فريق أمان SlowMist تنبيهًا بشأن أنواع جديدة من البرمجيات الخبيثة — تم تحديدها باسم Shai-Hulud وMiasma وHades — مرتبطة بحساب المطور المسروق “czirker” ونشطة في نظام npm البيئي. متجه الهجوم دقيق: يتم تشغيل الشفرة الخبيثة أثناء تنفيذ npm install عبر ملف binding.gyp مُعد مسبقًا، ما يجعل من السهل تفويتها في عمليات تدقيق الاعتمادات القياسية.
الأرقام المؤكدة لافتة. تم تحديد 23 حزمة متأثرة، إحداها — leo-logger — وصلت إلى 3,140 تنزيلًا أسبوعيًا. بالإضافة إلى ذلك، تم اكتشاف 408 مستودعات GitHub تحتوي على بيانات اعتماد مسروقة. تشمل الأنشطة الخبيثة سرقة رموز GitHub وnpm، وبيانات اعتماد السحابة عبر AWS وGCP وAzure، وبيانات البيئة المحلية، وإساءة استخدام خطوط أنابيب GitHub Actions.
توصي SlowMist بأن تقوم فرق الأمان فورًا بفحص ملفات القفل (lockfiles) وسجلات الحزم، وإزالة الحزم المتأثرة، وتدوير جميع المفاتيح الحرجة، وفرض المصادقة الثنائية. يبرز نمط الهجوم خطرًا مستمرًا في الأنظمة مفتوحة المصدر: سرقة بيانات اعتماد على مستوى حساب المطور يمكن أن تلوث مئات المستودعات التابعة قبل اكتشافها.
كشف شريحة مايكروسوفت الكمية Majorana 2
في مؤتمر Build السنوي الخاص بها، كشفت مايكروسوفت عن Majorana 2، شريحتها الكمية الطوبولوجية من الجيل الثاني. تدّعي الشركة أن الشريحة أكثر موثوقية بـ 1000 مرة من سابقتها، مع متوسط عمر كيوبت يبلغ 20 ثانية — وبعض الكيوبتات تدوم حتى دقيقة واحدة. تتوقع مايكروسوفت الاقتراب من الحوسبة الكمية القابلة للتوسع بحلول 2029، مع الإبلاغ عن أن أدوات وكلاء الذكاء الاصطناعي تساعد في تسريع فحص المواد، وأتمتة القياس، وتحسين التصنيع.
أعاد الإعلان إحياء النقاش الخارجي حول الآثار طويلة المدى للحوسبة الكمية على أمان التوقيعات الرقمية لبيتكوين. هذا نقاش يستحق أن يُؤخذ بجدية، لكن السياق مهم: الفجوة بين عتاد الحوسبة الكمية الحالي والعتبة الحسابية المطلوبة لتهديد تشفير المنحنيات البيضاوية الخاص ببيتكوين لا تزال كبيرة جدًا. تمثل Majorana 2 خطوة ذات مغزى في موثوقية الكيوبت، لا تهديدًا وشيكًا لشبكات البلوكشين الحية.
ما تمثله هو سبب وجيه لتسريع أبحاث الهجرة لما بعد الحوسبة الكمية في إيثريوم — وللمشاريع مثل مؤسسة Algorand، التي نشرت خارطة طريق لأمن ما بعد الحوسبة الكمية تستهدف مقاومة أوسع للحوسبة الكمية بحلول نهاية 2027، للبقاء في الطليعة. السؤال العملي لكل شبكة بلوكشين رئيسية لم يعد ما إذا كانت هناك حاجة لتشفير مقاوم للحوسبة الكمية، بل متى يجب إكمال الهجرة.
الأسئلة الشائعة
ما مشكلة الخصوصية التي تم إصلاحها في Bitcoin Core الإصدار 31.1؟
أصلح Bitcoin Core 31.1 ثغرة خصوصية في ميزة -privatebroadcast في الإصدار 31.0. في ظل ظروف معينة تتضمن فشل التفاوض BIP324 v2، كان البرنامج يعود إلى اتصال v1 يتجاوز وكيل Tor، ما قد يؤدي إلى كشف عنوان IP لمنشئ المعاملة للعقدة المستقبِلة.
متى يُتوقع الآن إطلاق ترقية Glamsterdam لإيثريوم؟
تم تأجيل ترقية Glamsterdam لإيثريوم إلى النصف الثاني من العام. يستمر التطوير عبر تكرارات Devnet-5 وDevnet-6، مع استهداف الهارد فورك المنفصل Hegotá لإطار أواخر 2026/بداية 2027.
ما هو EIP-8182 وما أهميته؟
EIP-8182 هو مقترح للتحويلات الخاصة الأصلية على إيثريوم طوّره توم ليهمان. سيُدخل آلية تحويل خاصة غير إلزامية وخالية من رسوم البروتوكول مباشرة في طبقة L1 لإيثريوم باستخدام عقود نظام ذات عناوين ثابتة وعمليات ما قبل التجميع للتحقق باستخدام ZK. تم اقتراحه رسميًا للإدراج في الهارد فورك Hegotá، وتكمن أهميته في أنه يستهدف الخصوصية على مستوى البروتوكول بدلًا من الاعتماد على أدوات خصوصية مجزأة على مستوى التطبيقات.
ما التهديدات التي يبرزها تحذير البرمجيات الخبيثة من SlowMist؟
حددت SlowMist أنواعًا من البرمجيات الخبيثة (Shai-Hulud وMiasma وHades) تستغل حساب مطور npm المسروق “czirker” لإصابة الحزم أثناء التثبيت. يسرق الهجوم رموز GitHub وnpm، وبيانات اعتماد السحابة من AWS وGCP وAzure، وبيانات البيئة المحلية، كما يسيء استخدام GitHub Actions. تم تأكيد تأثر 23 حزمة و408 مستودعات GitHub.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”ما مشكلة الخصوصية التي تم إصلاحها في Bitcoin Core الإصدار 31.1؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”أصلح Bitcoin Core 31.1 ثغرة خصوصية في ميزة -privatebroadcast في الإصدار 31.0. في ظل ظروف معينة تتضمن فشل التفاوض BIP324 v2، كان البرنامج يعود إلى اتصال v1 يتجاوز وكيل Tor، ما قد يؤدي إلى كشف عنوان IP لمنشئ المعاملة للعقدة المستقبِلة.”}},{“@type”:”Question”,”name”:”متى يُتوقع الآن إطلاق ترقية Glamsterdam لإيثريوم؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”تم تأجيل ترقية Glamsterdam لإيثريوم إلى النصف الثاني من العام. يستمر التطوير عبر تكرارات Devnet-5 وDevnet-6، مع استهداف الهارد فورك المنفصل Hegotá لإطار أواخر 2026/بداية 2027.”}},{“@type”:”Question”,”name”:”ما هو EIP-8182 وما أهميته؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”EIP-8182 هو مقترح للتحويلات الخاصة الأصلية على إيثريوم طوّره توم ليهمان. سيُدخل آلية تحويل خاصة غير إلزامية وخالية من رسوم البروتوكول مباشرة في طبقة L1 لإيثريوم باستخدام عقود نظام ذات عناوين ثابتة وعمليات ما قبل التجميع للتحقق باستخدام ZK. تم اقتراحه رسميًا للإدراج في الهارد فورك Hegotá، وتكمن أهميته في أنه يستهدف الخصوصية على مستوى البروتوكول بدلًا من الاعتماد على أدوات خصوصية مجزأة على مستوى التطبيقات.”}},{“@type”:”Question”,”name”:”ما التهديدات التي يبرزها تحذير البرمجيات الخبيثة من SlowMist؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”حددت SlowMist أنواعًا من البرمجيات الخبيثة (Shai-Hulud وMiasma وHades) تستغل حساب مطور npm المسروق “czirker” لإصابة الحزم أثناء التثبيت. يسرق الهجوم رموز GitHub وnpm، وبيانات اعتماد السحابة من AWS وGCP وAzure، وبيانات البيئة المحلية، كما يسيء استخدام GitHub Actions. تم تأكيد تأثر 23 حزمة و408 مستودعات GitHub.”}}]}
تم إعداد هذه المقالة بمساعدة الذكاء الاصطناعي ومراجعتها من قبل الفريق التحريري.
