ZenGo最近在一些最常用的加密货币钱包(例如Ledger,BRD和Edge)中发现了一个称为“BigSpender”的漏洞。这种双重消费的漏洞主要针对流行的比特币钱包。
ZenGo已经调查了将近9个加密货币钱包,发现Ledger,BRD和Edge受此漏洞的影响最大。但是,一旦ZenGo告知他们有关该漏洞的消息,这些钱包就会更新其产品中的所有安全协议。尽管如此,据信许多用户在识别威胁之前就已经受到威胁。
1.此漏洞可以做什么?
此漏洞可能通过提供不正确的信息来影响您的余额,并且攻击者有权在确认交易之前取消交易,这通常会使用户感到困惑。黑客可以增强称为“按费用替换”的比特币协议。
这使黑客可以首先以低交易费用发送数字资产。接下来,他们可以发送相同的加密货币,但交易费用更高。因此,先前的交易被取消,新的交易被添加到区块中。较高的交易费用使新交易的执行速度比其他交易更快,这是因为矿工的收费较高。
2.据说钱包里的“大牌手”
尽管采取了各种措施来防止该漏洞,但比特币现金的首席执行官兼联合创始人海登·奥托(HaydenOtto)表示,这种双重支出漏洞永久存在于比特币的内部,并且仍有许多方法可以利用它。奥托(Otto)在12月发布了一个视频,其中指定了类似的滥用RBF漏洞的行为。这意味着这不是漏洞首次针对RBF功能。奥托进一步强调说,这个问题仅在您使用比特币的情况下存在,并且与上述软件钱包无关。
3.Ledger,Edge和Brd致力于更新
ZenGo在90天前几乎已经通知了脆弱的公司。因此,Ledger和BRD为他们的服务提供了bug赏金奖励。在Edge和Ledger仍在研究中时,BRD几乎已发布了针对该问题的修复程序,希望它将很快发布。Ledger还发布了有关如何减少漏洞BigSpender的影响的博客。ZenGo还发布了一个开源工具,该工具将使两家公司能够测试和验证BigSpender漏洞的产品和安全墙,并能够轻松查看其行为。