ارز دیجیتال
خدمات پی‌پال و ویزا کارت
حواله‌جات ارزی و پرداخت بین‌المللی
هوش مصنوعی یک باگ خطرناک در اتریوم پیدا کرد؛ داستان کامل CVE-2026-34219

تاریخ انتشار: 13 جولای 2026

هوش مصنوعی یک باگ خطرناک در اتریوم پیدا کرد؛ داستان کامل CVE-2026-34219

دسته‌بندی: وبلاگ

بنیاد اتریوم با استفاده از تیمی از عامل‌های هوش مصنوعی، یک آسیب‌پذیری واقعی و خطرناک را در بخش شبکه‌ای کد اتریوم کشف کرد که می‌توانست گره‌های اعتبارسنج را از کار بیندازد؛ این باگ با کد CVE-2026-34219 ثبت و پیش از هر سوءاستفاده‌ای اصلاح شد. جالب اینجاست که از میان نزدیک به هزار یافته‌ای که هوش مصنوعی ارائه داد، تنها بخش کوچکی واقعی بودند و بار اصلی کار، غربال کردن یافته‌های دروغین توسط انسان بود؛ داستانی که یادآور کشف مشابه یک باگ جدی در Zcash با کمک هوش مصنوعی Claude در چند هفته قبل‌تر است.

کشف باگ اتریوم با هوش مصنوعی؛ خلاصه ماجرا

تیم امنیت پروتکل بنیاد اتریوم (Ethereum Foundation Protocol Security Team) در پستی که ۹ ژوئیه ۲۰۲۶ منتشر شد، اعلام کرد با رها کردن دسته‌ای از عامل‌های هوش مصنوعی هماهنگ‌شده روی کدهای هسته‌ای شبکه اتریوم، موفق به کشف باگ اتریوم با هوش مصنوعی شده است؛ آسیب‌پذیری واقعی و قابل‌سوءاستفاده‌ای که می‌توانست گره‌های اعتبارسنج (Validator) را از کار بیندازد.

این آزمایش که با عنوان «غربالگری، محصول اصلی است» منتشر شد، نشان داد هوش مصنوعی به‌خوبی می‌تواند نامزدهای باگ را شناسایی کند، اما بار اصلی کار همچنان روی دوش انسان‌هاست؛ چون اکثر یافته‌های هوش مصنوعی در نهایت باگ‌های واقعی نبودند.

آسیب‌پذیری CVE-2026-34219 دقیقاً چه بود؟

باگ کشف‌شده در بخش gossipsub قرار داشت؛ جزئی از لایه شبکه نظیر‌به‌نظیر (peer-to-peer) کتابخانه libp2p که کلاینت‌های اجماع اتریوم برای ارتباط با یکدیگر از آن استفاده می‌کنند. این آسیب‌پذیری از نوع «پنیک قابل‌فعال‌سازی از راه دور» بود؛ یعنی یک مهاجم بدون نیاز به دسترسی خاص یا احراز هویت، فقط با اتصال به شبکه به‌عنوان یک همتا (Peer) و ارسال یک پیام PRUNE ساخته‌شده به‌طور خاص، می‌توانست باعث از کار افتادن گره اعتبارسنج هدف شود.

این آسیب‌پذیری با شناسه رسمی CVE-2026-34219 ثبت شد و در نسخه ۰.۴۹.۴ کتابخانه libp2p-gossipsub اصلاح و از طریق یک اعلامیه رسمی گیت‌هاب افشا شد. طبق اعلام بنیاد اتریوم، هیچ سرمایه‌ای از دست نرفت، هیچ داده کاربری فاش نشد و هیچ گره‌ای در دنیای واقعی توسط یک مهاجم واقعی از کار نیفتاد؛ یعنی کل فرآیند طبق چارچوب استاندارد «افشای مسئولانه» (Responsible Disclosure) پیش رفت.

چرا این باگ اتریوم این‌قدر خطرناک بود؟

نکته مهم درباره این باگ اتریوم، وسعت دامنه تاثیر آن است. پروتکل gossipsub دقیقاً همان مکانیزمی است که تاییدها (Attestations)، بلاک‌ها و سایر پیام‌های اجماع در سراسر شبکه اتریوم پخش می‌شوند. یک آسیب‌پذیری در یک کتابخانه واحد مثل libp2p-gossipsub، می‌تواند به‌طور بالقوه کل مجموعه اعتبارسنج‌های شبکه را تحت تاثیر قرار دهد؛ چون اکثر کلاینت‌های اجماع اتریوم برای ارتباط شبکه‌ای به این کتابخانه وابسته‌اند.

برای آشنایی بیشتر با اهمیت این‌گونه استانداردهای امنیتی در اتریوم، پیش‌تر در مقاله استاندارد امنیتی اتریوم 2026 (zkEVM) هم به تلاش‌های این شبکه برای تقویت زیرساخت امنیتی خود پرداخته بودیم.
بنیاد اتریوم چطور از هوش مصنوعی برای شکار باگ استفاده کرد؟

بنیاد اتریوم چطور از هوش مصنوعی برای شکار باگ استفاده کرد؟

روش کار بنیاد اتریوم جالب توجه است: به‌جای تکیه بر یک مدل هوش مصنوعی، چندین عامل هوش مصنوعی با نقش‌های تخصصی مختلف سازمان‌دهی شدند: عامل‌های شناسایی (Recon) سطوح حمله گسترده را به فرضیه‌های قابل‌آزمایش مشخص تبدیل می‌کردند، عامل‌های شکار (Hunting) هر فرضیه را در کد دنبال کرده و تلاش می‌کردند یک نمونه بازتولیدپذیر بسازند، عامل‌های پرکردن شکاف (Gap-filling) یافته‌های قبلاً پذیرفته یا رد‌شده را پیگیری و فرضیه‌های جدید تولید می‌کردند، و در نهایت عامل‌های اعتبارسنجی (Validation) هر یافته را به‌صورت مستقل بررسی، موارد تکراری را حذف و تعیین می‌کردند که آیا واقعاً یک یافته معتبر است یا نه.

این عامل‌ها به‌جای گزارش‌دهی به یک مدیر مرکزی، از طریق خود مخزن کد و سیستم کنترل نسخه با یکدیگر هماهنگ می‌شدند. طبق آمار منتشرشده، یک عامل تنها برای تست‌های مبتنی بر ویژگی (Property-based Testing) نزدیک به ۱,۰۰۰ یافته احتمالی تولید کرد که پس از بازبینی کارشناسان، حدود ۸۶ درصد از یافته‌های رده‌بالای آن معتبر تشخیص داده شدند؛ رقمی که برای یک ماشین قابل‌توجه است، اما همچنان نیازمند فیلتر انسانی پیش از رسیدن به کد نهایی است.

چالش اصلی؛ غربال کردن هزاران یافته دروغین

بر اساس گزارش بنیاد اتریوم، سه الگوی رایج در یافته‌های نادرست هوش مصنوعی دیده شد: نخست، کرش‌هایی که فقط در نسخه تست رخ می‌دادند، جایی که کامپایلر بررسی‌های ایمنی خاصی را فعال می‌کند که در نرم‌افزار نهایی وجود ندارند. دوم، حملاتی که فقط با دخالت دستی امکان‌پذیر بودند، یعنی مقدار خطرناک باید مستقیماً و دستی درون برنامه قرار داده شود چون هیچ مسیر واقعی برای یک مهاجم خارجی برای رساندن آن مقدار وجود نداشت. سوم، اثبات‌های صوری بی‌معنا، جایی که یک اثبات ریاضی چیزی بدیهی و بی‌ارزش را ثابت می‌کرد و درباره امنیت واقعی نرم‌افزار هیچ اطلاعاتی نمی‌داد.

نکته مهم دیگر این بود که عامل‌های هوش مصنوعی در باگ‌هایی که طی یک توالی از چند مرحله معتبر رخ می‌دهند (نه یک خطای لحظه‌ای) ضعیف عمل می‌کنند؛ دقیقاً همان الگویی که در حملات اخیر به پروتکل‌های Edel Finance و BONK دیده شده بود. به همین دلیل، اصل کلیدی بنیاد اتریوم این بود: «یا بازتولیدپذیر است، یا اصلاً اتفاق نیفتاده.» هر یافته باید شامل یک مصنوع (Artifact) بازتولیدپذیر باشد که فردی غیر از همان عامل تولیدکننده، بتواند آن را اجرا و تایید کند.

آیا هوش مصنوعی می‌تواند جایگزین پژوهشگران امنیتی شود

پیشینه مشابه؛ باگ Zcash که با Claude کشف شد

این اولین‌بار نیست که یک ابزار هوش مصنوعی، آسیب‌پذیری جدی در یک پروژه بلاکچینی بزرگ پیدا می‌کند. در ماه مه ۲۰۲۶، یک پژوهشگر امنیتی با استفاده از مدل Claude Opus 4.8 شرکت Anthropic، یک آسیب‌پذیری حیاتی در استخر حریم خصوصی Orchard شبکه Zcash کشف کرد؛ نقصی که نزدیک به چهار سال در کد وجود داشت و به‌طور بالقوه به یک مهاجم اجازه می‌داد بدون ردپای آشکار روی زنجیره، توکن ZEC تقلبی تولید کند. یک آپدیت شبکه‌ای برای بازگرداندن اعتماد به عرضه واقعی ZEC هنوز در دست اجراست.

برای آشنایی با تحولات اخیر Zcash، پیش‌تر در مقاله زی‌کش (Zcash) در مسیر صعود مجدد هم به این ارز دیجیتال پرداخته بودیم.

این اتفاق برای آینده امنیت بلاکچین چه معنایی دارد؟

کشف باگ اتریوم با هوش مصنوعی و پیش از آن باگ Zcash، نشان می‌دهد صنعت بلاکچین وارد فاز تازه‌ای از آدیت‌های مبتنی بر هوش مصنوعی شده است. اما بنیاد اتریوم به‌روشنی تاکید کرد هوش مصنوعی جایگزین پژوهشگران امنیتی نمی‌شود، بلکه صرفاً محل تمرکز کار را از «پیدا کردن باگ» به «قضاوت درباره صحت یافته‌ها» منتقل می‌کند. برای شبکه‌ای که صدها میلیارد دلار ارزش را تضمین می‌کند، همین فیلتر انسانی دقیق است که در نهایت امنیت واقعی را تضمین می‌کند.

برای کاربران عادی، این خبر یک یادآوری خوب است: امنیت زیرساخت‌های بلاکچینی بزرگ مثل اتریوم مدام در حال تقویت است، اما مسئولیت نگهداری امن دارایی‌های شخصی همچنان بر عهده خود کاربر باقی می‌ماند؛ نکته‌ای که پیش‌تر در مقاله رمزنگاری و امنیت در معاملات ارز دیجیتال هم توضیح دادیم.

اگر می‌خواهید با اطمینان بیشتری در اتریوم یا سایر ارزهای دیجیتال امن مثل زی‌کش سرمایه‌گذاری کنید، می‌توانید از صرافی ارز دیجیتال ویکی‌اکسچنج استفاده کنید. کافیست ثبت‌نام کنید، احراز هویت خودکار و فوری (KYC) انجام شود، حساب خود را با ریال یا استیبل‌کوین شارژ کنید و سپس به‌سرعت اتریوم (ETH) یا زی‌کش (ZEC) بخرید یا بفروشید.

جمع‌بندی

کشف باگ اتریوم با هوش مصنوعی و رفع سریع آسیب‌پذیری CVE-2026-34219 نشان می‌دهد آدیت‌های مبتنی بر عامل‌های هوش مصنوعی، دیگر صرفاً یک آزمایش تئوری نیستند و می‌توانند باگ‌های واقعی و خطرناک را در زیرساخت‌های حیاتی بلاکچین شناسایی کنند. با این حال، درس اصلی این ماجرا این است که چالش واقعی دیگر «پیدا کردن باگ» نیست، بلکه «تشخیص باگ واقعی از میان انبوهی از یافته‌های به‌ظاهر قانع‌کننده اما نادرست» است؛ کاری که همچنان به قضاوت دقیق انسانی نیاز دارد.

 

در حال دریافت قیمت ETH…

پرسش و پاسخ

باگ CVE-2026-34219 چه بود؟

یک آسیب‌پذیری قابل‌فعال‌سازی از راه دور در بخش gossipsub کتابخانه libp2p بود که به یک مهاجم اجازه می‌داد با ارسال یک پیام خاص، گره اعتبارسنج اتریوم را از کار بیندازد. این باگ پیش از سوءاستفاده احتمالی، شناسایی و اصلاح شد.

آیا این باگ اتریوم باعث از دست رفتن سرمایه کسی شد؟

خیر. طبق اعلام بنیاد اتریوم، هیچ سرمایه‌ای از دست نرفت، هیچ داده‌ای فاش نشد و هیچ گره‌ای در دنیای واقعی توسط یک مهاجم واقعی از کار نیفتاد.

آیا هوش مصنوعی می‌تواند جایگزین پژوهشگران امنیتی انسانی شود؟

نه هنوز. طبق تجربه بنیاد اتریوم، هوش مصنوعی در تولید فرضیه و یافتن سرنخ‌های اولیه بسیار سریع است، اما اکثر یافته‌های آن نادرست هستند و بازبینی نهایی همچنان نیازمند قضاوت انسانی است.

چرا اتفاق مشابه قبلاً در Zcash هم رخ داده بود؟

در ماه مه ۲۰۲۶، یک پژوهشگر با استفاده از مدل هوش مصنوعی Claude Opus 4.8، یک آسیب‌پذیری چهارساله در استخر حریم خصوصی Orchard شبکه زی‌کش پیدا کرد که می‌توانست امکان تولید توکن تقلبی را فراهم کند.

آیا این خبر به‌معنای افزایش ریسک برای دارندگان اتریوم است؟

برعکس؛ این خبر نشان می‌دهد بنیاد اتریوم به‌صورت فعالانه و پیش‌دستانه به‌دنبال آسیب‌پذیری‌ها می‌گردد و آن‌ها را پیش از سوءاستفاده احتمالی برطرف می‌کند، که در نهایت به تقویت امنیت بلندمدت شبکه کمک می‌کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پشـتیـبانی آنلایـن