Последнее исследование компании ZenGo выявило новую угрозу для криптовалютных кошельков, которая связана с двойным расходованием средств. В группе риска оказали криптокошельки Ledger Live, BRD-кошелек и Edge-кошелек.
Тратить без остановок
Новая угроза, которая получила название BigSpender , позволяет злоумышленникам отменить транзакцию биткоина, которую банки не смогут идентифицировать. Эксперты исследовательской компании рассказывают, как это работает на практике.
«Представьте себе, что вы получаете банковский перевод на 100 долларов за товары или услуги, которые вы только что продали. Вы поставляете товары или услуги так, как считаете, что получили деньги. Ведь это видно в вашем аккаунте! За исключением того, что это не так. Это просто иллюзия. Злоумышленник смог отменить транзакцию способом, который ваш банк не смог обнаружить», – сообщается в пояснении к исследованию.
При этом злоумышленники могут отправлять транзакции и тут же их отменять несколько десятков раз подряд. Таким образом, преступники могут похитить десятки тысяч долларов с банковских счетов. В основе этого процесса лежит так называемое двойное расходование монет.
Двойные расходы – это результат успешного расходования одних и тех же денег более одного раза.
«Для защиты от двойных расходов пользователи биткоинов ждут подтверждения при получении платежей по блокчейну. Подтверждения происходят всякий раз, когда блок добывается, обычно каждые 10 минут. До первого подтверждения (иногда называемого «нулевым подтверждением» или «0 conf») нет никакой гарантии, что транзакция не будет израсходована дважды. Могут быть веские причины для изменения транзакции, главным образом, для добавления дополнительных сборов к «зависшей» транзакции, которая в противном случае могла бы оставаться застрявшей в течение нескольких дней», – сообщается в пояснении к исследованию.
Основная проблема, лежащая в основе уязвимости BigSpender, заключается в том, что уязвимые кошельки не готовы к тому, что транзакция может быть отменена, и предполагают, что она будет в конечном итоге подтверждена. В результате злоумышленники могут создавать и отменять десятки транзакций.
Проблема не в кошельках, а в биткоине
Данное исследование вызвало массу обсуждений в сообществе. Компания ZenGo направила официальные письма разработчикам кошельков, которые не прошли проверку защиты от атак двойного расходования. Вместе с этим, сторонники криптомонет заявляют, что проблема вовсе не с кошельком, а с самим биткоином.
Как ранее заявлял сторонник BCH Хейден Отто, технику двойного расхода облегчает функция RBF (замена на плату), добавленная на уровне протокола разработчиками Bitcoin Core.
«Проблема существует, если вы используете BTC. Программное обеспечение кошелька только проводит транзакции, пытаясь защитить пользователей ВТС от негативных последствий», – заявил он.
ZenGo выпустила бесплатный инструмент с открытым исходным кодом, который позволяет провайдерам кошельков тестировать свои продукты и защищаться от уязвимости BigSpender. В компании отметили, что не все кошельки, затронутые эксплойтом, внедрили обновления.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме
Источник: cryptocurrency.tech