ZenGo钱包服务侦探发现主要数字货币包中的双重支出漏洞

钱包服务提供商ZenGo的研究人员发现了一些数字货币包中的一个漏洞,该漏洞可能使这些钱包的用户遭受“双花”攻击。

根据ZenGo周四发布的报告,该漏洞利用了流行的区块链网络(如比特币)的按费用替换(RBF)功能。 “按费用替换”是一种用金额相同但费用不同的另一个交易替换待处理的交易的方法,以加快确认过程。 理想情况下,具有待处理交易且网络费用较小的钱包用户会选择用另一笔附加有更多费用的交易来代替该交易,以确保更快地进行确认。

根据ZenGo的说法,RBF功能可通过各种钱包获得各种处理。 根据这份报告,ZenGo的研究人员只能测试十种主要的钱包服务,这些服务包括Ledger Live,Trust钱包,Exodus,Edge,Bread,Coinbase,Blockstream Green,区块链与Atomic钱包。

在这些钱包服务中,有三个被发现具有特定的漏洞,称为“大花钱”。 这些钱包是Ledger Live,Edge和Breadwallet(BRD)。

ZenGo指出:“作为我们在比特币钱包领域正在进行的安全研究的一部分,我们调查了在不同现有钱包之间使用比特币的按需付费(RBF)功能的情况。” “不幸的是,正如我们在此展示的 [report],有些钱包不能很好地处理这种情况。”

ZenGo继续指出,这些钱包有多种处理RBF交易的方式,但共同的主题是它们无法警告用户这些交易的性质。 实际上,如果用户认为已经付款,则他们可以授权服务,以便稍后才知道交易被取消。 ZenGo解释说,这些钱包的工作要比普通钱包少,特别是在UI和UX方面,这使他们的用户能够识别可疑交易。

ZenGo研究人员报告说:“ BigSpender漏洞的核心核心问题是,脆弱的钱包没有为可能取消交易的选择做好准备,并隐含地假定它将最终被确认,”

为了使用户免受此漏洞的侵害,ZenGo建议确保在区块链上确认所有交易。 这可以通过使用块浏览器来完成。 专家建议对每笔交易至少确认六(6)个确认,然后再继续授权任何服务。 这样,如果攻击者取消了交易,则接收者可以及时看到取消。 但是,这只是用户角色的一部分。 首先存在漏洞的钱包服务呢?

好吧,根据该报告,ZenGo声称某些钱包服务未能承担起责任。 ZenGo的最大建议是为这些钱包创建一个更好的UI界面,以区分已确认交易和未决交易。

“在某些钱包中,未将钱包用户界面中未确认交易的图形表示与确认状态区分开来,这使用户更难理解这些交易尚未最终确定。”

但是,ZenGo确实按照惯例给了钱包服务90天的时间来修复该漏洞,然后再将其公开。 正如预期的那样,某些钱包已向ZenGo支付了漏洞赏金,以奖励其警告漏洞的努力。

如果您发现本文有趣,可以在此处找到更多区块链和加密货币新闻。

资讯来源:由0x资讯编译自CRYPTO-ECONOMY。版权归原作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢