شراء عملات رقمية
الدفع بواسطة
USD
USD
الشراء والبيع
Hot
اشترِ وبع العملات الرقمية عبر Apple Pay، والبطاقات، وGoogle Pay، والتحويلات المصرفية، والمزيد.
P2P
0 Fees
رسوم صفرية مع أكثر من 400 خيار دفع وشراء وبيع عملات رقمية بسلاسة
بطاقة Gate
بطاقة دفع العملات الرقمية، تتيح معاملات عالمية سلسة.
الأسواق
التداول
أساسي
متقدم
العقود الآجلة
العقود الآجلة
مئات العقود تتم تسويتها بـ USDT أو BTC
TradFi
الذهب
تداول الأصول المالية التقليدية العالمية باستخدام USDT في مكان واحد
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
انطلاقة العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
شارك في الفعاليات لربح مكافآت سخية
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
اكسب
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
منصة الإطلاق
كن من الأوائل في الانضمام إلى مشروع التوكن الكبير القادم
نقاط Alpha
تداول الأصول على السلسلة واستمتع بمكافآت التوزيع المجاني!
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
الاستثمار
المجتمع
سكوير
شارك منشوراتك وابقَ على اطلاع حول العملات الرقمية وغيرها
Live
moments live
تحليل آني لسوق العملات الرقمية
دردشة
الدردشة مع متداولي العملات الرقمية
أخبار
آخر أخبار العملات الرقمية
المزيد
عروض ترويجية
أخرى
TradFi
giveaways
مركز المكافآت

برايف تكشف عن ثغرات أمنية صادمة في zkLogin

LiveBTCNews

الباحثون الشجعان يكشفون عن ثغرات في zkLogin تتجاوز التشفير، مما يعرض مستخدمي البلوكشين لانتحال الهوية وانتهاكات الخصوصية

كشف باحثو أمن في Brave عن عيوب خطيرة في zkLogin. نظام التفويض المستخدم على نطاق واسع يعاني من مشاكل تتجاوز التشفير. ووفقًا لـ Brave على X، تواجه أنظمة إثبات المعرفة الصفرية تحديات أوسع مما كان يُعتقد سابقًا.

يُحقق zkLogin المستخدمين دون الكشف عن هويتهم. يبدو مثاليًا للخصوصية. لم يعد كذلك.

يفترض النظام افتراضات خطيرة أثناء التفويض. يمكن للمهاجمين استغلال هذه الثغرات بسهولة. وذكرت Brave على X أن zkLogin يعتمد على عوامل غير تشفيرية لم تُحدد أبدًا كمتطلبات للبروتوكول.

نشر فريق البحث بقيادة صوفيا سيلي، حامد حمدي، وكايل دين هارتوغ نتائجهم. قام الفريق بتحليل الوثائق العامة والكود المصدري. كما قاموا بمسح المحافظ والنقاط النهائية العامة عبر عمليات النشر.

ظهرت ثلاث فئات من الثغرات من خلال التحليل. الأولى تتعلق باستخراج الادعاءات بشكل تسامحي يقبل JWTs غير سليمة. التحليل غير المعياري يخلق ثغرات.

تُعرض عمليات النشر عبر المتصفح للخطر بشكل كبير. تصبح أدوات المصادقة ذات العمر القصير شهادات تفويض دائمة. لا يفرض النظام سياق الإصدار بشكل صحيح.

ما وراء التشفير: التهديدات الحقيقية

يصبح انتحال الهوية عبر التطبيقات ممكنًا من خلال هذه الثغرات. فشل التحقق من الجمهور في العديد من التطبيقات. يتم تجاهل ربط الموضوع أثناء التحقق من الاعتماد.

لا يتم فرض صلاحية زمنية بشكل متسق. أحيانًا تعمل الاعتمادات المنتهية عبر تطبيقات مختلفة مؤخرًا. تمتد نوافذ الهجوم بعيدًا عن مدة صلاحيتها المقصودة.

يظهر التحليل الكامل على eprint.iacr.org/2026/227. لا توجد من بين الثغرات أي ثغرات تشفيرية. وهذه هي الصدمة.

مهم القراءة: المدير التنفيذي السابق لـ Ripple: قد يحتاج البيتكوين إلى هارد فورك للبقاء في مواجهة الكم

يعتمد zkLogin على افتراضات في تحليل JWT/JSON. سياسات الثقة بالجهة المصدرة تفتقر إلى المعايير الموحدة. يعتمد الربط المعماري على سلامة بيئة التنفيذ التي لم يتم التحقق منها.

تتحكم مجموعة صغيرة من الجهات المصدرة في كل شيء. المركزية تخلق نقاط فشل واحدة. جهة مصدرة مخترقة تنهار سلاسل الثقة بأكملها.

البنية التحتية التي توفرها الأطراف الخارجية تتعامل مع بيانات المستخدمين. تتدفق سمات الهوية عبر خدمات خارجية بدون موافقة. تتضاعف مخاطر الخصوصية بدلًا من تقليلها.

وجد فريق البحث ممارسات أمنية غير متسقة. تتعامل عمليات النشر المختلفة مع التحقق بشكل مختلف على مستوى العالم. هذا يخلق العديد من أسطح الهجوم عبر الشبكة.

ذات صلة: Chainalysis تشير إلى مئات الملايين من العملات المشفرة المرتبطة بمجموعات الاتجار

يعتقد المستخدمون أن zkLogin يحمي خصوصيتهم. لكن الواقع يظهر خلاف ذلك في العديد من الحالات. يصبح محتوى النظام متاحًا في بيئات المتصفح بشكل غير متوقع.

تسرب JWTs غير الصحيحة من خلال التحليل التسامحي. تستغل الفئة الأولى من الثغرات هذا الضعف. يصنع المهاجمون رموزًا غير صالحة تُقبل رغم ذلك.

وعود الخصوصية تواجه الواقع القاسي

تنتقل ضعفيات المصادقة عبر الويب إلى البلوكشين. وفقًا للبحث، يرث zkLogin هذه المشاكل. بعض السيناريوهات تجعل الأمور أسوأ.

لا يمكن لأنظمة إثبات المعرفة الصفرية إنقاذ بنية ضعيفة. تعتمد أمان النظام على عوامل خارجية. يجب تحديد وفرض خصائص البروتوكول بشكل واضح.

مهم أيضًا: فيتاليك بوتيرين يدعو إلى حوافز مستدامة في العملات الرقمية

يتم تجاهل سياق الإصدار أثناء محاولات التفويض. يجب التحقق من الجهة المصدرة، والجمهور، والصلاحية الزمنية. تتخطى التطبيقات الحالية هذه الفحوصات الحيوية.

حصلت الورقة على موافقة في 12 فبراير 2026. ترخيص كرييتف كومونز للمنح بالاعتماد على النسبة يُغطي العمل. يمكن لأي شخص الوصول إلى التفاصيل التقنية الكاملة عبر الإنترنت.

اتبعت Brave ممارسات الإفصاح المسؤول. تلقت الأطراف المتأثرة إشعارًا مسبقًا قبل النشر. الهدف هو تحسين أنظمة التفويض على مستوى الصناعة.

تخلق خدمات الإثبات الخارجية مخاطر غير متوقعة. تتدفق بيانات المستخدم عبر أطراف ثالثة خلال العمليات العادية. العديد من المستخدمين لا يدركون أن المعلومات تُشارك.

تفسر تطبيقات المحافظ المختلفة القواعد بشكل مختلف. يفتقر التحقق من JWT إلى الاتساق عبر المنصات. هذا يقوض نموذج الثقة بأكمله.

تحتاج القرارات المعمارية الأساسية إلى إعادة نظر. لا يمكن للتحديثات أن تعالج هذه الثغرات بمفردها. تصبح التغييرات على مستوى البروتوكول ضرورية للأمان الحقيقي.

يجب على مطوري البلوكشين مراجعة استخدامهم لـ zkLogin. قد توجد أنماط ضعيفة حددتها Brave في أماكن أخرى. تصبح مراجعات الأمان من قبل أطراف ثالثة ضرورية.

كانت وعود التفويض بمعرفة صفرية تعزز الخصوصية. تكشف الواقعيات التنفيذية عن فجوات كبيرة. يتباعد النظرية والتطبيق بشكل خطير في عمليات النشر الحالية.

شاهد النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات