ZENGO, bir mobil cryptocurrency cüzdan, donanım cüzdanı gibi en popüler kripto para birimi cüzdanlarından bazılarında bir güvenlik açığı keşfetti Defteri kebir, BRD ve kenar.

BigSpender olarak adlandırılan güvenlik açığı, onaylanmamış işlemler toplam bakiyenizde dikkate alındığından cüzdanınızda yanlış bir bakiyeye neden olabilir. Saldırgan, işlemi onaylanmadan iptal edebilir ve bu da bazı karışıklıklara yol açabilir.

Kripto para birimlerine aşina olmasanız bile, bu tür saldırılar Craigslist gibi eşler arası pazarlarda oldukça popülerdir. Bir telefon satmaya çalıştığınızı varsayalım. Biri size cihazınızı satın almak istediklerini söyleyebilir ve size sahte bir PayPal işlem e-postası gönderebilir. Sadece e-postaya bakarsanız, alıcının size zaten parayı gönderdiğini düşünebilirsiniz. Ancak PayPal hesabınızı yüklerseniz, alıcının size hiçbir şey göndermediğini fark edebilirsiniz - bu sahte bir ödeme bildirim e-postasıdır.

BigSpender aynı şekilde, ancak kripto para birimleriyle kullanılabilir. Potansiyel saldırgan, bitcoin protokolünde adı verilen bir özelliği kullanır. Değiştir--Fee tarafından. Bu özellik, düşük bir işlem ücreti ile bazı bitcoinleri göndermenize ve ardından aynı kripto varlıklarını daha yüksek bir işlem ücreti ile göndermenize olanak tanır.

Orijinal işlem iptal edilir ve yenisi ile değiştirilir. Bu şekilde, madenciler önce daha yüksek işlem ücreti olan işlemleri işledikçe yeni işlem daha hızlı onaylanmalıdır.

Ancak bazı kripto para cüzdanları, biraz fazla hızlı olduğu için onaylanmamış işlemleri kabul eder. Bakiyenizi kontrol ettiğinizde, bazı bitcoin almış gibi görünüyorsunuz, ancak gönderen, bu işlemi bir başkasıyla değiştirmek için iptal etmiş olabilir. bir diğeri cüzdan - kontrol ettikleri bir cüzdan. İşlem iptal edilmiş olsa bile, bakiye yine de bu sahte işlemleri yansıtmaktadır.

Saldırgan gerçekten pahalı bir şeyi sahte satın almaya çalışıyorsa, çok parası olmasa bile BigSpender saldırısını birden çok kez kullanabilir. Örneğin, her biri 0.1 BTC değerinde on işlem başlatabilirler, alıcı 1 BTC almış olsa bile 0 BTC'lik bir bakiye görecektir.

Ve cüzdan, bakiyeyi yanlış hesapladığı için, saldırganlar, bir "hizmet reddi" saldırısıyla kripto varlıklarınızı dondurmak için BigSpender güvenlik açığından da yararlanabilir. Kurban, bir ton sahte işlem aldıktan sonra bir miktar bitcoin göndermeye çalıştığında, cüzdan hiç gelmeyen kripto varlıkları göndermeye çalışabilir. İşlem başarısız olur.

Açık olmak gerekirse, mevcut bitcoinleriniz güvende kalır. Genellikle uygulama önbelleğini temizlemek ve cüzdanınızı bitcoin blok zinciri ile yeniden senkronize etmek bu sorunu çözer. Ancak kripto varlıklarınızı neden kullanamayacağınızı anlamayabilirsiniz.

BigSpender, bitcoin protokolündeki bir güvenlik açığı değildir - bitcoin çalmanıza izin vermez. Ancak kullanıcıların kafasını karıştırmak için kullanılabilir. İleriye dönük olarak, cüzdanlar, cüzdanın bakiyesini artırmadan, onaylanmamış işlemleri büyük bir "beklemede" etiketiyle açıkça işaretlemelidir. Ücret Değiştirme kullanılarak değiştirilen işlemler de başarısız olarak tanımlanmalıdır.

ZENGO 90 gün önce Ledger, Edge ve BRD ile güvenlik açığını açıkladı. Ledger ve BRD, ZenGo'ya böcek ödülleri verdi. BRD, Edge ve Ledger düzeltmeler üzerinde çalışırken zaten bir düzeltme yayınladı. ZenGo ayrıca serbest Davranışı görmek için cüzdanınızı BigSpender'a karşı test etmek için açık kaynaklı bir araç.

Kaynak: https://techcrunch.com/2020/07/01/a-vulnerability-in-some-bitcoin-wallets-leads-to-double-spend-attacks-and-inflated-balance/