litecoin
Litecoin (LTC) $ 80.31 6.06%
monero
Monero (XMR) $ 136.66 2.56%
zcash
Zcash (ZEC) $ 25.40 12.53%
dash
Dash (DASH) $ 32.88 10.48%
ethereum
Ethereum (ETH) $ 3,345.22 7.50%
bitcoin-cash
Bitcoin Cash (BCH) $ 372.99 8.65%
bitcoin
Bitcoin (BTC) $ 64,420.94 5.44%
xrp
XRP (XRP) $ 0.596544 3.60%
ethereum-classic
Ethereum Classic (ETC) $ 28.76 9.39%
eos
EOS (EOS) $ 0.919544 10.13%
cardano
Cardano (ADA) $ 0.621058 9.41%
stellar
Stellar (XLM) $ 0.124046 6.12%
neo
Neo (NEO) $ 13.71 10.27%
iota
IOTA (IOTA) $ 0.288201 10.86%
nem
NEM (XEM) $ 0.043085 13.89%
tron
TRON (TRX) $ 0.120873 4.51%
vechain
VeChain (VET) $ 0.038934 6.31%
qtum
Qtum (QTUM) $ 3.99 13.10%
omg
OMG Network (OMG) $ 0.981626 12.17%
icon
ICON (ICX) $ 0.276575 13.33%
lisk
Lisk (LSK) $ 1.67 18.41%
ontology
Ontology (ONT) $ 0.305189 9.42%
verge
Verge (XVG) $ 0.005212 14.00%
bitcoin-gold
Bitcoin Gold (BTG) $ 42.70 10.12%
nano
Nano (XNO) $ 1.46 12.28%
bytecoin-bcn
Bytecoin (BCN) $ 0.000037 4.24%
siacoin
Siacoin (SC) $ 0.008669 10.22%
dogecoin
Dogecoin (DOGE) $ 0.131585 11.65%
zilliqa
Zilliqa (ZIL) $ 0.02888 13.82%
0x
0x Protocol (ZRX) $ 1.14 9.35%
decred
Decred (DCR) $ 22.40 14.04%
basic-attention-token
Basic Attention Token (BAT) $ 0.276413 11.41%
golem-network-tokens
Golem (GLM) $ 0.448921 14.33%
digibyte
DigiByte (DGB) $ 0.012708 11.70%
acoin
Acoin (ACOIN) $ 0.005157 5.43%
maker
Maker (MKR) $ 2,805.38 12.02%
metaverse
Metaverse ETP (ETP) $ 0.018826 4.89%
adx-net
AdEx (ADX) $ 0.232521 8.28%
adshares
Adshares (ADS) $ 0.416882 6.72%
achain
Achain (ACT) $ 0.001604 5.83%
airswap
AirSwap (AST) $ 0.150786 11.93%
aeron
Aeron (ARNX) $ 0.000005 0.08%
bitcoin-diamond
Bitcoin Diamond (BCD) $ 0.124103 15.27%
multi-collateral-dai
Dai (DAI) $ 1.00 0.01%
tezos
Tezos (XTZ) $ 1.17 12.75%
aeternity
Æternity (AE) $ 0.044463 14.28%
ardor
Ardor (ARDR) $ 0.1053 13.44%
bitshares
BitShares (BTS) $ 0.003976 11.13%
electroneum
Electroneum (ETN) $ 0.004962 1.24%
komodo
Komodo (KMD) $ 0.355997 5.89%
chainlink
Chainlink (LINK) $ 17.22 11.25%
pundix-new
Pundi X (New) (PUNDIX) $ 0.591771 17.45%
qash
QASH (QASH) $ 0.029734 13.49%
augur
Augur (REP) $ 1.08 16.17%
status
Status (SNT) $ 0.040713 11.26%
steem
Steem (STEEM) $ 0.286809 12.81%
waves
Waves (WAVES) $ 3.26 14.50%
wax
WAX (WAXP) $ 0.07375 10.56%
Автор:
2 июля, 2020 11:22

В криптовалютных кошельках Ledger Live, BRD и Edge обнаружена критическая уязвимость

Баг может привести к повторному расходованию биткоинов.

Разработчики крипто-кошелька ZenGo обнаружили в популярных сервисах для хранения цифровых валют Ledger Live, BRD и Edge уязвимость, позволяющую злоумышленникам обманным путем заставить пользователей думать, что они получили биткоины на свой адрес, хотя на самом деле это не так. 

ZenGo уведомила соответствующих поставщиков о своих выводах и согласилась хранить конфиденциальность в данном вопросе в течение 90 дней в рамках принципов раскрытия информации. 90-дневный период истек 1 июля. 

ZenGo охарактеризовал атаку как «уязвимость двойного расходования средств» (т.е. применения одних и тех же биткоинов для нескольких операций) — однако, ни один кошелек не подтвердил наличие бага в своих продуктах.

Такая проблема может быть связана с функцией биткоина под названием «Replace-by-Fee», позволяющей пользователям заменить транзакцию, которая все еще ожидает подтверждения, другой транзакцией, которая использует ту же монету, но содержит в себе более высокую комиссию. В этом случае, при загруженности мемпула (числа ожидающих неподтвержденных транзакций), более высокая плата теоретически побудит майнеров быстрее подтвердить транзакцию-двойника.

Таким образом злоумышленники могли обманывать, например, продавцов каких-либо товаров или услуг, уверяя их в поступлении BTC на адрес, хотя транзакция фактически остается в обработке, а затем отменяется до включения в блок. При этом хакеры могут повторять такую операцию с одними и теми же монетами неоднократно.

Проблема, обнаруженная командой ZenGo, в основном относится к пользовательскому интерфейсу. Наиболее уязвимы кошельки, которые не дают понять пользователю, что транзакция все еще ожидает подтверждения или была отменена, вместо этого преждевременно обновляя баланс пользователя, чтобы создать впечатление, что новый платеж уже поступил.

Разработчики скомпрометированных кошельков назвали выявленную уязвимость багом интерфейса. Представители BRD отчитались об устранении проблемы, остальные готовят обновление.

Комментарии:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *