ZenGo开发人员在比特币钱包中发现双重支出缺陷

新的研究表明，比特币钱包很脆弱，可以利用双重消费功能。 钱包初创公司ZenGo的开发人员表示，他们已经在Ledger Live，Edge和Breadwallet这样的钱包中发现了该漏洞，并且正在进行其他钱包的研究。 据该公司称，如果黑客获得了进入用户钱包的权限，则可以触发双花功能，从而使所有者无法使用它。

在谈到该漏洞利用的工作原理时，这家位于特拉维夫的公司的开发人员指出，黑客利用了比特币收费功能的一个关键缺陷。 该功能允许用户用费用较高的交易代替未确认的交易。 ZenGo首席执行官Ouriel Ohayon提供了对此问题的见解，他在一封电子邮件中说：[BigSpender] 可能会导致巨大的财务损失，并在某些情况下导致受害者的钱包无法使用，而受害者无法保护自己。 因此，这可以看作是严重程度很高的攻击。”

可以利用RBF漏洞进行攻击

像比特币核心代码库中其他先前发现的漏洞（例如时间解锁交易）一样，RBF功能为用户发送和接收价值提供了一种标准方法。 在最近的一些提议中，开发者社区接受了它，以支付更多的交易费用来通过缓慢的确认。 从一开始，人们就担心，尽管比特币钱包已经集成在比特币协议层，但它们却没有能力完全支持RBF功能。

谈到漏洞时，著名的假名比特币研究人员0xB10C说：“ ZenGo显示，用户可能会被欺骗，以为他在没有收到比特币的情况下就在接受比特币。 我相信这是新颖的。 我至少以前没有听说过，”比特币研究员说。 该公司已经测试了大约九个钱包，包括Ledger Live，Trust钱包，Exodus Edge，Bread，Coinbase，Blockstream Green，区块链与Atomic钱包。 在经过测试的钱包中，只有三个被发现具有公司描述的漏洞。

公司已经在调整他们的钱包

发现漏洞后，ZenGo就漏洞通知了各自的公司，同时给了他们90天的最后通to以解决问题。 首席执行官说：“我们还没有测试所有的钱包，但是如果涉及到其中三个最大的钱包，那么可能还会更多。” 根据已确认的报告，Ledger和BRD已发布代码更改，表明该攻击已得到阻止，并已向ZenGo支付了未公开的赏金。 另一方面，根据Edge的首席执行官Paul Puey的说法，Edge目前正在进行重大调整，以解决该问题。

据ZenGo称，该漏洞很容易解决。 黑客将大量比特币发送给受害者，并设定了微薄的确认费，这意味着交易不会被确认。 黑客取消了交易，但受害者发现其余额有所增加。 根据ZenGo的说法，如果这是可能的并且可以完美完成，则可以使用双花协议。 托管初创公司Casa的首席技术官Jameson Lopp否认ZenGos的说法，“您必须确定双重支出的定义。 大多数不是巨魔的人都会说，当您有一个已确认的交易因某种原因无效并花在另一笔已确认的交易上时，就会花双倍的钱。”