分析师揭示了可能被误用于双重支出的比特币钱包的陷阱

分析师揭示了可能被误用于双重支出的比特币钱包的陷阱
  • 发表作者:
  • 帖子类别:技术

新的检查发现,执行比特币的标准方法可能无法避免双重支出。

的区块链侦探 ZenGo一家钱包初创公司,发现无能为力对任何三个重要的加密钱包(Ledger Live,Edge和Breadwallet(BRD))都产生了很大的影响。

这个位于特拉维夫的公司称为BigSpender的错误使程序员可以花两倍的钱来花一个客户’的资产,也许可以防止他们再次使用钱包。

它通过滥用比特币中的缺陷来工作’的替代费用(RBF)工作,一种保障措施,使客户能够与费用较高的交易者进行未经验证的交易所交易。

“[BigSpender]可能会引发大量的预算不幸事件,并一次又一次地造成人员伤亡’的钱包无法使用,没有机会造成人员伤亡,”ZenGo首席执行官Ouriel Ohayon在一封电子邮件中说。“因此,这可以看作是高度严重的攻击。”

就像比特币中发现的不同漏洞一样’作为时间交换的中心代码库,RBF工作已成为客户来回激励的标准途径。设计者网络被推销并被公认为是比特币人通过支付更多费用来绕过平均确认时间的途径。

有人担心,尽管在比特币方面得到了协调,但RBF的工作并没有得到比特币钱包的全面支持’匿名比特币专家0xB10C表示,在会议层上。“ZenGo证明客户可以被欺骗。当他不在时,他正在获得比特币’t。我接受这是一本小说。一世’ve至少没有被它吸引住,” he said.

该公司尝试了9种独特的钱包,包括Ledger Live,Trust钱包,Exodus,Edge,Bread,Coinbase,Blockstream Green, 区块链和Atomic Wallet。在那些尝试过的人中,有3人被认为对假设的冒险无能为力。

“我们并没有尝试所有的钱包,但是如果其中三个最大的钱包被困,那么也有可能逐渐出现,”大hay说。 ZenGo警告组织注意其发现,并允许他们90天纠正无助。

Record和BRD已发布代码更改以防止攻击发生,并向ZenGo支付了未公开的巨额悬赏,而Edge目前正在经历“noteworthy refactor”可以解决这个问题,Edge’首席执行官Paul Puey在一封电子邮件中说。

黑客在显式钱包如何对待比特币中使用了已知的无助感’的RBF交易所,比特币设计师Peter Todd和RBF’s draftsman, said

在交换挂起时,攻击者将其丢弃。对于无能为力的钱包,这种未完成的交换将反映为客户的扩展’的记录余额。沿着这些思路,也许会导致一些人员伤亡来接受交易,尽管被错误地放弃了。

伤亡之间的对比’如表述所示,仇恨的演艺人员可能会滥用真正的均等化,欺骗个人以不花钱的方式赠与商品或行政管理,除了花费的支出微不足道。从这个意义上说,不完美之处在于钱包’s UX and UI plan.

双倍消费难度?

正如ZenGo所指出的那样,程序员偶然会愚弄一个人接受他们的分期付款,同时保持对比特币的控制,这是一笔双重的花费’s specialists.

“您需要选择两次消费的含义。有很多人’t巨魔会指出,两次消费是您进行一次肯定交易的一个要点,这种交易被一种或另一种否定并通过另一次确认交易进行,”护理初创公司Casa的首席技术官Jameson Lopp表示否认专家’ cases.

通过这种气质,这种攻击利用了钱包如何显示未经证实的交换。从这个意义上讲,尽管是假的,但指控并没有’打破比特币代码的容量。

“您唯一可以依靠的就是已开采的交易”

“区块链的一般目的是防止双重支出问题,” Lopp said. “它返回到第一本Satoshi白皮书,该白皮书说,双重支出的答案是要有适当的记录,以供众多个人检查。 ”

0xB10C表示,在使用比特币执行时,可靠的一般指导原则绝不能与六次确认交易相提并论。这是由包括Todd,Lopp和BRD CTO Samuel Sutch在内的一些工程师重新定义的。

从这个意义上讲,Sutch将BigSpender称为“minor bug” and “devised,”而且,还有一些值得修复的东西,并为此付出了很多金钱。 Sutch表示,BRD到目前为止已吸引了500万客户。

“更多钱包设计师需要意识到他们的客户’对发动机没有最雾的想法’s qualifications,” Lopp said. Many don’关于安全立场中确认与未证实之间的区别,您可能一无所知。因此,工程师有责任打造出卓越的客户体验,以便他们能够’不要被这样的事情陶醉和欺骗。”

为此,Ledger更新了钱包如何显示RBF交易,并包括了如果客户不确定的话“检查交易所的状态,”利用一个方形的先驱。“这种支票今天在您的银行里是荒谬的,” Ledger’首席技术官Charles Guillemet说。

双重支出愿景

刷新钱包以显示什么’在RBF交换期间进行的操作对每个人都非常有用。无论如何,ZenGo的分析师发现了第二次攻击,该攻击遵循了上面概述的类似计划,无论是否进行交换,这都可能永久损害钱包。’伤亡信息。

攻击者再次误导炸死人员’通过向她的钱包发送重新兑换的交易来实现均衡。这应该没有伤亡的可能’s assent.

受害人在确认之前放弃交易’表示的钱包余额,并且真实资产再次分离,使其钱包无法使用。更糟糕的是,攻击会同时影响不同的钱包。