skip to Main Content
Марат Автор:

В криптовалютных кошельках Ledger Live, BRD и Edge обнаружена критическая уязвимость

Баг может привести к повторному расходованию биткоинов.

В криптовалютных кошельках Ledger Live, BRD и Edge обнаружена критическая уязвимость

Разработчики крипто-кошелька ZenGo обнаружили в популярных сервисах для хранения цифровых валют Ledger Live, BRD и Edge уязвимость, позволяющую злоумышленникам обманным путем заставить пользователей думать, что они получили биткоины на свой адрес, хотя на самом деле это не так. 

ZenGo уведомила соответствующих поставщиков о своих выводах и согласилась хранить конфиденциальность в данном вопросе в течение 90 дней в рамках принципов раскрытия информации. 90-дневный период истек 1 июля. 

ZenGo охарактеризовал атаку как «уязвимость двойного расходования средств» (т.е. применения одних и тех же биткоинов для нескольких операций) – однако, ни один кошелек не подтвердил наличие бага в своих продуктах.

Такая проблема может быть связана с функцией биткоина под названием «Replace-by-Fee», позволяющей пользователям заменить транзакцию, которая все еще ожидает подтверждения, другой транзакцией, которая использует ту же монету, но содержит в себе более высокую комиссию. В этом случае, при загруженности мемпула (числа ожидающих неподтвержденных транзакций), более высокая плата теоретически побудит майнеров быстрее подтвердить транзакцию-двойника.

Таким образом злоумышленники могли обманывать, например, продавцов каких-либо товаров или услуг, уверяя их в поступлении BTC на адрес, хотя транзакция фактически остается в обработке, а затем отменяется до включения в блок. При этом хакеры могут повторять такую операцию с одними и теми же монетами неоднократно.

Проблема, обнаруженная командой ZenGo, в основном относится к пользовательскому интерфейсу. Наиболее уязвимы кошельки, которые не дают понять пользователю, что транзакция все еще ожидает подтверждения или была отменена, вместо этого преждевременно обновляя баланс пользователя, чтобы создать впечатление, что новый платеж уже поступил.

Разработчики скомпрометированных кошельков назвали выявленную уязвимость багом интерфейса. Представители BRD отчитались об устранении проблемы, остальные готовят обновление.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back To Top
×Close search
Поиск
Поиск
Generic filters
Exact matches only
Filter by Custom Post Type