قال وُو تقرير التكنولوجيا لشهر مارس: إعادة تنظيم نادرتين لكتلتي بيتكوين، ومقترحات جديدة لمواجهة التهديدات المحتملة للحوسبة الكمومية وغيرها

作者 | GaryMa 吴说区块链

吴说团队总结 3 月区块链技术领域重要动态：

比特币

比特币客户端 Bitcoin Core 的开发主分支已合并 Cluster Mempool 更新（PR #34616），预计将纳入未来的 Bitcoin Core 31.0 版本。该升级将重新设计节点对待处理交易（mempool）的管理方式，通过将相关交易分组处理，以提升区块打包效率并优化 RBF 与 CPFP 交易的手续费计算。预计 Bitcoin Core 31.0 可能于 2026 年下半年发布。

量子技术公司 BTQ Technologies 宣布在其 Bitcoin Quantum 测试网（v0.3.0）上成功部署了比特币改进提案 BIP-360 的首个功能性实现。BIP-360 旨在应对量子计算对比特币的潜在威胁，其核心是引入名为“支付至默克尔根”的新型输出类型，从而最大限度地减少椭圆曲线公钥的暴露风险。该提案已于今年早些时候被正式合并至比特币 BIP 代码库中。

Bitcoin 网络近日出现一次较为罕见的两区块重组（two-block reorg）。区块高度 941880 附近，矿池 Foundry USA、AntPool 和 ViaBTC 在挖矿竞争中形成两条短暂分叉链，随后 Foundry USA 连续挖出后续区块，使其链成为主链并完成重组。研究人员表示，此类事件属于 Bitcoin 共识机制正常运行的一部分，并非攻击或系统故障。

以太坊

ترقية Glamsterdam: أقصى توسعة L1 وتحقيق عدالة MEV. التقدم: قام فريق التطوير باختبارها على Devnet-5، ودخلت عدة EIP أساسية حالة “النظر في الإضافة (CFI)”، ومن المتوقع تفعيلها حوالي شهر يونيو.

ترقية Hegota: مقاومة الرقابة وتعزيز الخصوصية وتقليل حجم العقد. التقدم: كانت Frame Transactions مخططًا إدخالها لدعم التشفير لما بعد الكم ومفهوم أكثر تقدمًا لتجريد الحسابات، لكن بسبب تعقيدها العالي، تم تأجيلها أو تبسيطها في اجتماع التطوير الأخير لضمان إصدار Hegota في الوقت المحدد بنهاية 2026.

صرّح Vitalik Buterin بأن الاتجاهين الرئيسيين لترقية طبقة التنفيذ في إيثيريوم هما إعادة بناء شجرة الحالة وتعديل الجهاز الافتراضي، بهدف معالجة اختناق كفاءة الإثبات. على مستوى الحالة، تتوقع EIP-7864 استبدال شجرة Merkle Patricia السداسية الحالية ببنية شجرة ثنائية مبنية على دوال تجزئة أكثر كفاءة، لتقصير فروع Merkle وتقليل كلفة عرض النطاق والتكاليف الخاصة بالإثبات، وتحسين بنية الوصول إلى التخزين. وعلى المدى الطويل، اقترح استبدال EVM تدريجيًا بجهاز افتراضي أكثر ملاءمة للإثبات (مثل RISC-V) لرفع كفاءة التنفيذ وإثباتات ZK. قد تشمل مسار الانتقال استخدامه أولًا كبرمجيات مسبقة (precompiles)، ثم فتح نشر العقود، وفي النهاية تحويل EVM للعمل كطبقة توافق، مع الحفاظ على التوافق مع الإصدارات السابقة، بحيث لا يتضمن الأمر سوى تعديلات في تكلفة Gas.

ذكر مؤسس إيثيريوم المشارك Vitalik أن EIP-8141 سيُكمل ترقية تجريد الحسابات (Account Abstraction)، من خلال إدخال آلية “المعاملات متعددة المراحل (Frame Transactions)”، بحيث تصبح ميزات مثل المعالجة الدفعية وتقديم Gas والخصوصية في المدفوعات قدرات أصلية في البروتوكول. وقال Vitalik إن هذه الترقية قد يتم تنفيذها خلال سنة عبر تفرع Hegota.

أعلن Virtuals Protocol عن أنه بالتعاون مع فريق dAI التابع لمؤسسة إيثيريوم، قدّم ونشر ERC-8183 (Agentic Commerce)، بهدف توفير معيار تسوية تجارية على السلسلة مفتوح وغير مُرخص لوكلاء الذكاء الاصطناعي. يتمثل جوهر هذا المعيار في بدائية “Job”: تتكون من ثلاثة أطراف Client وProvider وEvaluator، وتُقفل الأموال في ضمان عقودي (escrow)، ويتم التسوية وفق آلة حالات Open→Funded→Submitted→Terminal (اكتمل/مرفوض/منتهي الصلاحية)؛ ويتولى Evaluator التحقق على السلسلة من مخرجات التسليم أو رفضها، ويمكن استخدام السجلات ذات الصلة في تطبيقات مركبة مثل أنظمة السمعة.

قدّم مؤسس إيثيريوم المشارك Vitalik Buterin على منصة X آلية قواعد جديدة للتأكيد السريع في إيثيريوم. تسمح هذه الآلية للمستخدمين بالحصول على ضمان صارم بأن معاملة إيثيريوم لن يتم تراجعها (Non-revert) بعد المرور على مجرد Slot واحد (12 ثانية). وأشار Vitalik إلى أن أمان هذه القاعدة يستند إلى افتراضين: أولًا، أن الغالبية العظمى من المدققين عبارة عن عقد صادقة؛ ثانيًا، أن زمن تأخر الشبكة أقل من حوالي 3 ثوانٍ. ورغم أن أمانها أقل قليلًا من “النهائية الاقتصادية” (Economic Finality)، إلا أنها تمتلك بالفعل درجة موثوقية عالية للغاية بالنسبة للعديد من سيناريوهات الاستخدام.

نشرت مؤسسة إيثيريوم ( Ethereum Foundation ) مقالًا يوضح رؤية النظام البيئي للمستقبل لكلٍّ من L1 وL2. يشير المقال إلى أن L1 سيظل يؤدي دورًا كبوابة تسوية عالمية وربط رئيسي للـ DeFi، بينما تحول المهمة الأساسية لـ L2 من مجرد التوسعة إلى تقديم خدمات مميزة ومخصصة. توصي المؤسسة بأن تصل L2 إلى معيار الأمان على الأقل في المرحلة 1، وتشجعها على التطور نحو Stage 2 وقابلية التزامن والتوافقية والتوجه نحو “Rollup أصلي”. وفي الوقت نفسه، تلتزم مؤسسة إيثيريوم بمواصلة توسعة L1 ومعالجة Blob (حاليًا حوالي 30% فقط ممتلئة)، مع التركيز على حل مشكلة تجزئة تجربة ما بين السلاسل الناتجة عن النظام البيئي متعدد السلاسل.

أطلقت إيثيريوم خطة ترقية هي الأكثر تفصيلًا على الإطلاق حتى الآن: سبع ترقيات، خمسة أهداف، وإعادة بناء واسعة النطاق واحدة؛ يُطلق على النظام الذي يحقق التوافق بين جميع المشغلين اسم “آلية الإجماع”. تعمل آلية الإجماع الحالية في إيثيريوم بشكل طبيعي وقد خضعت لاختبار الواقع، لكنها صُممت لحقبة أقدم، ما يحد من الحد الأعلى لقدرات الشبكة. وبغض النظر عن إنشاء أي حل للخصوصية في إيثيريوم، يجب أن يتمتع بصلابة ضد الهجمات الكمومية (quantum resistance)، وهذان الأمران يجب أن يُعالجا معًا؛ وبحل هذه المشكلة، سيختفي أحد العوائق الرئيسية أمام التبني على نطاق واسع.

سلاسل L2s الخاصة بإيثيريوم

اقترحت Gnosis وZisk إطار “منطقة الاقتصاد الإيثيريومي” (EEZ)، بهدف تحقيق تشغيل متزامن بين شبكة إيثيريوم الرئيسية وبين مختلف شبكات Layer 2 عبر البنية التحتية المشتركة، وتقليل التطوير المتكرر والاحتكاك التقني، وتحسين تجربة المستخدم؛ وقد شاركت مؤسسة إيثيريوم في تمويل هذا المشروع. يعتزم هذا الحل تخفيف مشكلة تجزئة نظام Layer 2 البيئي عبر بيئة تنفيذ موحدة وآلية دفع افتراضية باستخدام ETH.

أعلنت Polygon عن إطلاق أداة ذكاء اصطناعي Agent CLI، تدعم قيام وكلاء AI بإنشاء محافظ على سلسلة Polygon وإجراء تحويلات وإدارة أموالها، وتوفر وظائف مثل إرسال الرموز وتبادلها، وربط الجسور بين السلاسل، وإيداع العملة الورقية، والاستعلام عن الرصيد وسجلات المعاملات؛ كما تدعم تسجيل الوكلاء كتطبيقات هوية NFT على السلسلة عبر معيار ERC-8004 مع إرفاق درجة سمعة، وتوفر وظيفة دفع ميكرو تعتمد على HTTP ‏x402، تدعم دفع تكاليف Gas باستخدام العملات المستقرة وتخزين المفاتيح المحلية.

أعلنت Optimism أنها ستتوقف عن دعم op-geth وop-program اعتبارًا من 31 مايو 2026؛ وحتى ذلك الحين سيستمر توفير ترقيعات الأمان وإصلاح الثغرات الحرجة، لكن تطوير الميزات الجديدة بما في ذلك التطوير القادم للشوكة الصلبة Karst سيُجرى فقط على op-reth. في الوقت نفسه، سيتم ترحيل برنامج fault proof الخاص بـ op-program إلى kona-client، ومن المتوقع أن يظل النشر الحالي قابلاً للاستخدام قبل الشوكة الصلبة Karst.

سولانا

تمت الموافقة على اقتراح الحوكمة في سولانا SIMD-0266. اقترحت هذه الفكرة Anza العام الماضي، وتقدم نموذج رموز p-tokens جديدًا لتحسين كفاءة الحساب؛ ومن الناحية النظرية يمكن أن ترفع كفاءة معاملات Solana إلى ما يصل إلى حوالي 19 مرة. وقال نائب الرئيس للتقنية في مؤسسة Solana إن هذه الترقية من المتوقع أن تُطرح على الشبكة الرئيسية في أبريل.

نشرت مؤسسة Solana تقريرًا بعنوان《Privacy on Solana》، تقترح إطارًا للخصوصية موجهًا للاستخدام المؤسسي، وتعتقد أن المرحلة التالية من تطبيقات صناعة التشفير ستعتمد أكثر على آليات خصوصية قابلة للتخصيص بدلًا من الاعتماد فقط على الشفافية. يتضمن التقرير أربع أنماط خصوصية، منها التعمية الاسمية (pseudonymization)، والسرية (confidentiality)، واللا-تسمية (anonymity)، وأنظمة الخصوصية الكاملة، ويشير إلى أن إنتاجية Solana العالية وزمن التأخر المنخفض يدعمان تقنيات الخصوصية مثل الإثباتات عديمة المعرفة (zero-knowledge proofs). وبذلك، يمكن تحقيق متطلبات الامتثال التنظيمي مع حماية بيانات المعاملات، مثل التنفيذ المشروط للإفصاح عبر مفاتيح التدقيق أو إثباتات الامتثال.

متعلق بالأمان

أجرت شركة الأمن BlockSec إعادة اختبار لـ EVMBench، وخلصت إلى أن هذا المعيار يُبالغ في تقدير القدرات الآلية للذكاء الاصطناعي في تدقيق العقود الذكية. عبر توسيع الاختبار ليشمل 26 إعدادًا لنماذج مختلفة وإدخال 22 حدث هجوم حقيقي بعد فبراير 2026، أظهرت النتائج أنه ضمن 110 مجموعات اختبار، كانت نسبة نجاح الذكاء الاصطناعي في استغلال الهجمات الحقيقية 0%، بينما كان أداؤه في اكتشاف الثغرات قريبًا من التقرير الأصلي؛ ويمكن لبعض النماذج التعرف على ثغرات ذات أنماط معروفة.

وفقًا لما كشفت عنه GoPlus Security، فإن نوعًا جديدًا من البرمجيات الخبيثة يسمى Infiniti Stealer يستهدف مستخدمي Mac لشن هجمات على محافظ التشفير. إذ يستخدم تزوير صفحة تحقق Cloudflare لخداع المستخدمين لبدء تنفيذ كود خبيث عبر الطرفية (terminal)، ثم يسرق بيانات اعتماد المتصفح وmacOS Keychain ومحفظة التشفير ومعلومات حساسة للمطورين. ويتميز بقدرات خفية مثل اكتشاف البيئة الرملية (sandbox) والتنفيذ المتأخر. تنبيه للمستخدمين بعدم النقر على الروابط غير المعروفة وعدم تنفيذ أوامر غير معروفة المصدر.

بحسب ما أفصحت عنه شركة أمن شبكي Aikido، فقد تمت ترقية البرمجية الخبيثة GlassWorm مؤخرًا، حيث تستخدم حقل memo في معاملات Solana كقناة اتصال مخفية للحصول على أوامر C2 وتنفيذ هجمات متعددة المراحل. ينتشر هذا البرنامج الخبيث عبر تقليد/استهداف حزم مفتوحة المصدر مثل npm وPyPI. ويمكنه سرقة المفاتيح الخاصة وعبارات الاسترجاع (seed/mnemonic) وCookie المتصفح وبيانات الجلسة وغيرها، ثم نشر حصان طروادة للتحكم عن بعد (RAT). كما يمكن للهجوم استهداف المحافظ العتادية مثل Ledger وTrezor عبر إظهار واجهة مزورة للخداع لإدخال عبارات الاسترجاع، مع دعم تسجيل ضغطات لوحة المفاتيح وأخذ لقطات شاشة وتنفيذ أوامر عن بُعد. حذّر الباحثون المطورين من تثبيت التبعيات بحذر والتحقق من مصادر الحزم.

وفقًا لما أفصحت عنه شركة الأمان Socket، اكتشف الباحثون 5 حزم npm خبيثة تستهدف مطوري Ethereum وSolana، حيث يتم خداع التثبيت عبر typosquatting (تشابه أسماء) وسرقة المفاتيح الخاصة وإعادة إرسالها إلى المهاجم عبر Telegram. أربعة من هذه الحزم موجهة لـ Solana وواحدة لـ Ethereum. تقوم الحزم الخبيثة بالاستيلاء على الدوال الرئيسية التي يستدعيها المطورون، وتحمل بيانات المفتاح الخاص قبل إرجاع النتائج بشكل طبيعي. وقد قدم الباحثون طلبًا لإزالة هذه الحزم من npm، ونبهوا إلى أنه يجب على المفاتيح الخاصة المتأثرة نقل الأصول فورًا.

كشف Guillermo Rauch، الرئيس التنفيذي لشركة Vercel، عبر منشور عن حالة قيام مستخدم باستخدام Opus 4.6 وOpenClaw؛ ففي ظل وجود معرف مشروع صحيح معروف (project ID)، تسبب AI Agent في “هلاوس” بإخراج معرف GitHub مزيف (repoId) ثم قام بتشغيل النشر عبر API. وبسبب أن هذا المعرف العشوائي تطابق بالصدفة مع مشروع مفتوح المصدر حقيقي، ظهر على خادم المستخدم “انحراف في النشر” بسبب كود غير ذي صلة. وبخصوص ذلك، حذر CISO 23pds لدى慢雾 (Slow Mist) من أنه مع انتشار AI Agent على نطاق واسع، ستصبح الهجمات التي تؤتمت عبر GEO (تسويق بحث بالذكاء الاصطناعي) وتسميم نتائج البحث (AI search poisoning) و”انحرافات البحث” وغيرها تحديًا جديدًا في مجال الأمان.

أفصحت مؤسسة أبحاث أمنية Ctrl-Alt-Intel عن قيام مجموعة من قراصنة يُشتبه بصلتهم بتركيب/دولة كوريا الشمالية بشن هجمات ضد منصات التخزين/الرهان وموردي برامج البورصات ومقدمي خدمات التبادل في سوق العملات المشفرة. استخدم المهاجمون ثغرة React2Shell (CVE-2025–55182) وبيانات اعتماد AWS التي حصلوا عليها للدخول إلى بيئة السحابة، ثم قاموا بتعداد موارد مثل S3 وEC2 وRDS وEKS وECR، واستخراج المفاتيح والبيانات الاعتمادية من Secrets Manager وملفات Terraform وإعدادات Kubernetes وحاويات Docker. وذكر الباحثون أن المهاجمين قاموا بتنزيل 5 صور Docker وسرقة الكود المصدري، بما في ذلك مكونات برمجية مرتبطة بعميل ChainUp. تشمل البنية التحتية للهجوم خادمًا في كوريا على العنوان 64.176.226[.]36 ونطاق itemnania[.]com. ووفقًا للتقرير فإن سمات هذا النشاط تتوافق مع هجمات مرتبطة بكوريا الشمالية، لكن درجة الثقة في نسبة الهجوم إليهم متوسطة، ولم يتم تحديد مصدر بيانات اعتماد AWS بوضوح.

أفاد كبير مسؤولي أمن المعلومات 23pds لدى慢雾 عبر تغريدة أن مكتبة LiteLLM (بوابة ذكاء اصطناعي Python) التي يصل عدد تحميلاتها الشهرية إلى 97 مليون مرة قد تعرضت لهجوم عبر سلسلة التوريد في PyPI. إذ يمكن للمهاجمين سرقة معلومات حساسة من جهاز المستخدم عبر تنفيذ أمر pip install litellm. تشمل البيانات الحساسة القابلة للسرقة: مفاتيح SSH، وأوراق اعتماد خدمات سحابية (AWS / GCP / Azure)، وملفات إعداد Kubernetes، وبيانات اعتماد Git، ومفاتيح API الموجودة ضمن متغيرات البيئة، وسجل الأوامر Shell history، ومعلومات محافظ العملات المشفرة، وكلمات مرور قواعد البيانات، من بين أمور أخرى. حذّر كبير مسؤولي أمن المعلومات 23pds لدى慢雾 من أن مهاجمي ثغرة LiteLLM قد قاموا حاليًا بسرقة حوالي 300GB من البيانات وسرقة نحو 500 ألف بيانات اعتماد. ونصح بأن يقوم جميع مطوري العملات المشفرة بإجراء فحص ذاتي فورًا، واستبدال المفاتيح وبيانات الاعتماد ذات الصلة في أقرب وقت، والتحقق من السجلات وسجل الوصول وإظهار/تعرض البيانات الحساسة، لتجنب خسائر جسيمة مماثلة لحدث Trust Wallet.

أصدر كبير مسؤولي أمن المعلومات 23pds لدى慢雾 تنبيهًا تحذيريًا، داعيًا جميع مستخدمي iOS إلى تحديث النظام في أسرع وقت. وبحسب الرصد، فإن برنامج الهجوم المسمى DarkSword قد تسرب بالفعل. تتمثل الإمكانية الأساسية لهذا البرنامج في استخراج بيانات بمستوى إثبات (forensic-grade) من أجهزة iOS عبر واجهة HTTP. في سيناريوهات هجوم واقعية، قد يخدع المهاجمون المستخدمين عبر الهندسة الاجتماعية أو هجمات تلطيخ الماء (water-pit attacks) لإيقاعهم في الفخ، ثم سرقة البيانات الداخلية الموجودة على iPhone أو iPad ورفعها إلى خادم خاضع للسيطرة.

أشياء أخرى

أعلن فريق تطوير Sui أن جهازه الافتراضي الجديد (VM) أصبح متاحًا للجمهور وتم فتح خطة مكافآت عن الثغرات، مع دعوة المجتمع لإجراء مراجعة أمنية قبل نشره على الشبكة الرئيسية. تمثل هذا الإصدار بإعادة كتابة طبقة التنفيذ، ويقدم لكل حزمة ذاكرة مؤقتة (cache) وميزة Move من الجيل الجديد، وقد اكتملت المراجعات الداخلية وتدقيقات الأمان لدى OSEC وZellic وغيرها من المؤسسات.

أعلنت Sui رسميًا أن الشبكة الرئيسية تمت ترقيتها إلى V1.68.1 وأن ترقية البروتوكول تمت إلى الإصدار 118. وتشمل هذه الترقية بشكل رئيسي تفعيل وظيفة عناوين بديلة (address aliases) على الشبكة الرئيسية، وتعزيز أمان البيانات الوصفية (metadata) في Sui System، وإصلاح مشكلة قد تؤدي إلى تعطل جميع العقد (full node crash) في حال احتوت المعاملات على محاولة محاكاة لاستخراج أموال غير صالحة.

أعلنت Polkadot رسميًا أن ترقية نموذج إصدارها بدأت رسميًا في 14 مارس (يوم باي/π). يتضمن تغيير البروتوكول إجراءين رئيسيين: أولًا، وضع حد أقصى لإجمالي العرض البالغ 2.1 مليار DOT (تم إصدار حوالي 80% حاليًا)؛ وثانيًا، خفض معدل انبعاث DOT بحوالي 53% بدءًا من 14 مارس، مع خطط لتقليل الإصدارات أكثر في المستقبل. وأشارت الجهة الرسمية إلى أن هذه التغييرات تم اقتراحها من قبل المجتمع وتم اعتمادها عبر OpenGov، بهدف تقييد إجمالي الإصدارات على المدى الطويل، والحفاظ على آليات الحوافز، وتوفير خطة إصدار شفافة ويمكن التنبؤ بها.

نشر Cosmos Labs بيانًا يفيد بأنه تم مؤخرًا اكتشاف ثغرة تؤثر على جزء من السلاسل التي تستخدم Cosmos EVM stack، وتشمل دالة استخدمتها بعض السلاسل، وقد تأثرت بيئة Saga الإنتاجية. وذكرت Cosmos Labs أنها عملت بالتنسيق مع Saga وشركاء النظام البيئي لإكمال التحقيق في المشكلة وتنسيق إجراءات التخفيف، كما أصدرت رقعًا إصلاحية للسلاسل المعنية.

أطلقت Brevis اليوم Brevis Vera، وهو نظام مصادقة أصالة الوسائط مدفوع بإثباتات صفرية المعرفة (ZK)، للتحقق مما إذا كانت الصور ومقاطع الفيديو المنشورة صادرة عن أجهزة حقيقية، والتأكد من أنها لم تخضع إلا لتعديلات يمكن إثباتها وقانونية. يجمع هذا النظام بين توقيعات التقاط الأجهزة على مستوى C2PA وإثباتات صفرية المعرفة التي تولدها Brevis Pico zkVM، بما يتيح الحفاظ على إثباتات المصدر المشفرة طوال عملية التحرير بأكملها. تم إطلاق Brevis Vera الآن، ويدعم مكتبات مفتوحة المصدر.

أعلن فريق تطوير Bitcoin Layer2 Stacks Stacks Labs أنه تم إكمال ترقية SIP-034 من خلال تنفيذها على الشبكة الرئيسية. ومن خلال تحسين طريقة معالجة حدود موارد المعاملات، يمكن رفع “السعة الفعلية” للشبكة في بعض تطبيقات DeFi بما يصل إلى حوالي 30 مرة. تقوم هذه الترقية بتعديل الآلية التي كانت تعيد تعيين جميع الحدود عندما تصل أي ميزانية موارد إلى الحد الأقصى، بحيث تعيد فقط تعيين حدود الميزانية المنفردة التي تم استهلاكها، وبذلك تزيد السعة المتاحة داخل الكتلة. وذكر الفريق أن الترقية لا تغير مباشرة اقتصاديات رمز STX، لكنها قد تؤدي إلى المزيد من المعاملات والرسوم مع زيادة نشاط الشبكة.