Автор: administrator
В криптовалютных кошельках Ledger Live, BRD и Edge обнаружена критическая уязвимость
Баг может привести к повторному расходованию биткоинов.
Разработчики крипто-кошелька ZenGo обнаружили в популярных сервисах для хранения цифровых валют Ledger Live, BRD и Edge уязвимость, позволяющую злоумышленникам обманным путем заставить пользователей думать, что они получили биткоины на свой адрес, хотя на самом деле это не так.
ZenGo уведомила соответствующих поставщиков о своих выводах и согласилась хранить конфиденциальность в данном вопросе в течение 90 дней в рамках принципов раскрытия информации. 90-дневный период истек 1 июля.
ZenGo охарактеризовал атаку как «уязвимость двойного расходования средств» (т.е. применения одних и тех же биткоинов для нескольких операций) — однако, ни один кошелек не подтвердил наличие бага в своих продуктах.
Такая проблема может быть связана с функцией биткоина под названием «Replace-by-Fee», позволяющей пользователям заменить транзакцию, которая все еще ожидает подтверждения, другой транзакцией, которая использует ту же монету, но содержит в себе более высокую комиссию. В этом случае, при загруженности мемпула (числа ожидающих неподтвержденных транзакций), более высокая плата теоретически побудит майнеров быстрее подтвердить транзакцию-двойника.
Таким образом злоумышленники могли обманывать, например, продавцов каких-либо товаров или услуг, уверяя их в поступлении BTC на адрес, хотя транзакция фактически остается в обработке, а затем отменяется до включения в блок. При этом хакеры могут повторять такую операцию с одними и теми же монетами неоднократно.
Проблема, обнаруженная командой ZenGo, в основном относится к пользовательскому интерфейсу. Наиболее уязвимы кошельки, которые не дают понять пользователю, что транзакция все еще ожидает подтверждения или была отменена, вместо этого преждевременно обновляя баланс пользователя, чтобы создать впечатление, что новый платеж уже поступил.
Разработчики скомпрометированных кошельков назвали выявленную уязвимость багом интерфейса. Представители BRD отчитались об устранении проблемы, остальные готовят обновление.
Комментарии: