В как минимум трех криптовалютных кошельках ― Ledger Live, Edge и Breadwallet (BRD) ― была обнаружена уязвимость, которая позволяла злоумышленнику провести атаку двойного расходования (спорное определение ― подробнее об этом ниже) на пользователя. Об этом сообщает Coindesk со ссылкой на исследование разработчиков криптовалютного кошелька ZenGo.
Разработчики назвали уязвимость BigSpender ― она использует ошибку в функциональности биткоина Replace-by-Fee (RBF), которая позволяет пользователям доплачивать более высокую комиссию за неподтвержденную транзакцию, чтобы ускорить её включение в блокчейн. RBF стала широко используемой функций во многих биткоин-кошельках.
По словам исследователя биткоина под псевдонимом 0xB10CС, хотя функция интегрирована на уровне протокола, с самого начала существовали опасения по поводу возможных проблем её реализации в биткоин-кошельках. «Ислледование ZenGo описывает новый способ обмана пользователя. Он будет думать, что получил биткоины, тогда как на самом деле их нет. Я думаю, что это что-то новое. По крайней мере, раньше я об этом не слышал», ― сказал он.
Разработчики ZenGo протестировали девять различных кошельков ― Ledger Live, Trust Wallet, Exodus, Edge, BRD, Coinbase, Blockstream Green, Blockchain и Atomic Wallet. Три из них разработчики назвали потенциально уязвимыми для этой атаки.
«Мы протестировали не все существующие кошельки, но если уязвимы три крупнейших, то их может быть больше», ― сказал генеральный директор ZenGo Уриэль Охайон. Команда ZenGo сообщила разработчикам об уязвимости и дала им 90 дней на её устранение.
Ledger и BRD внесли соответствующие изменения в код и выплатили ZenGo вознаграждение (сумма не раскрывается). По словам генерального директора Edge Пол Пуэя, кошелек в настоящее время проходит «существенный рефакторинг», который должен решить эту проблему.
Питера Тодд, который участвовал в разработке RBF, сказал, что злоумышленник может использовать известную уязвимость в том, как определенные кошельки отображают биткоин-транзакции.
Как это работает: мошенник отправляет средства жертве и устанавливают очень низкую комиссию, чтобы транзакция не получала подтверждение. Пока транзакция ожидает включения в блокчейн, злоумышленник отменяет ее. Однако уязвимые кошельки отобржают эту транзакцию увеличением баланса, и, следовательно, некоторые пользователи могут ошибочно предположить, что транзакция прошла.
Это несоответствие между заявленным и фактическим балансом жертвы может быть использовано злоумышленниками. Таким образом, уязвимость скрывается в интерфейсе кошелька.
По мнению разработчиков ZenGo, если хакер может убедить человека в том, что он получил платеж, и в то же время сохранить контроль над биткоинами, то это можно назвать атакой двойной расходования.
«Тут важно определить, что вы подразумеваете под двойным расходованием. Большинство людей, которые не занимаются троллингом, скажут, что двойное расходование ― это когда у вас есть подтвержденная транзакция, которая каким-то образом признана недействительной и потрачена на другую подтвержденную транзакцию», ― сказал Джеймсон Лопп, разработчик биткоина и технический директор стартапа Casa.
Эта атака использует уязвимости в интерфейсе некоторых кошельков, а не в коде биткоина.
«Весь смысл блокчейна заключается в том, что он решает проблему двойного расходования», ― добавил Лопп. «В whitepaper биткоина говорится, что решение двойной расходования заключается в наличии распределенного реестра».
По словам 0xB10C, общее правило при совершении сделок в биткоине ― никогда не доверять транзакциям с менее чем шестью подтверждениями. Эту точку зрения повторили многие разработчики, в том числе Тодд, Лопп и технический директор BRD Сэмюэль Сатч.
«Разработчики кошельков должны понимать, что многие пользователи не знают всех особенностей работы блокчейна», ― говорит Лопп. «Многие даже не знают разницы между подтвержденными и неподтвержденными транзакциями. Таким образом, ответственность в этом случае лежит на разработчиках ― нельзя допускать того, чтобы пользователей могли обмануть таким способом».
С ростом цен все больше россиян интересуются биткоином. Но всемирное увлечение этим криптоактивом также привело…
В наше время криптовалюты стали неотъемлемой частью мировой экономики и финансов. Они предоставляют уникальные возможности…
Виталий Бутерин, основатель Ethereum, имеет тесные связи с Wanxiang Group, китайской компанией, зависящей от правительства…
Обмен юсдт (Tether TRC20 USDT) на российские рубли (RUB) на карты РФ - это процесс…
Каждый посетитель интернет-казино жаждет получить крупный выигрыш с наименьшими рисками. Для такой игры лучше всего…
Появление криптовалюты произвело революцию в цифровых активах, позволив частным лицам безопасно и легко обмениваться ценностями…
Bitcoin и другая криптовалюта всегда вызывала противоречивые мнения у разных участников финансового сектора. Не исключением…
Рынок финансовых услуг России стабильно развивается. Каждый день компании предлагают новые программы финансирования для потенциальных…
Кэш-память является одним из ключевых компонентов процессора, который играет важную роль в оптимизации производительности ноутбука…
Для того чтобы стать успешным и востребованным риэлтором, нужно хорошо разбираться в объектах недвижимости и…
По данным Организации Объединенных Наций, пандемия и связанная с ней нестабильная экономика приводят к росту…
В последнее время банки активно предлагают различные программы финансирования граждан. Одним из удобных и технологичных…
Доверенный торговый счет – это соглашение между трейдером и инвестором, в результате которого трейдер торгует…
Рейтинг лучших ботов для торговли криптовалютой на бирже может меняться со временем и зависит от…
Криптовалюты уже давно стали отличным вариантом заработка. Волатильность рынка позволяет получать хороший доход. Поэтому трейдеры…
В наше время деньги нужны всем и всегда. Но иногда бывают ситуации, когда они нужны…
Aptos - это блокчейн L1, который стремится стать самым безопасным и масштабируемым блокчейном в истории.…
Ethereum является одной из самых перспективных криптовалют и в ближайшем будущем может отнять трон у…
Дефи криптовалюта - это новый вид валюты, которая появилась на рынке в последние годы. Она…
Ноутбуки 2-в-1, также известные как конвертируемые ноутбуки — эти устройства давно стали отдельным сегментом в…
Найбільша криптовалютна біржа Європи з українським корінням — WhiteBIT — створила спеціальні умови для залучення…