ZenGo錢包服務偵探發現主要數字貨幣包中的雙重支出漏洞

錢包服務提供商ZenGo的研究人員發現了一些數字貨幣包中的一個漏洞，該漏洞可能使這些錢包的用戶遭受「雙花」攻擊。

根據ZenGo周四發布的報告，該漏洞利用了流行的區塊鏈網路（如比特幣）的按費用替換（RBF）功能。 「按費用替換」是一種用金額相同但費用不同的另一個交易替換待處理的交易的方法，以加快確認過程。 理想情況下，具有待處理交易且網路費用較小的錢包用戶會選擇用另一筆附加有更多費用的交易來代替該交易，以確保更快地進行確認。

根據ZenGo的說法，RBF功能可通過各種錢包獲得各種處理。 根據這份報告，ZenGo的研究人員只能測試十種主要的錢包服務，這些服務包括Ledger Live，Trust錢包，Exodus，Edge，Bread，Coinbase，Blockstream Green，區塊鏈與Atomic錢包。

在這些錢包服務中，有三個被發現具有特定的漏洞，稱為「大花錢」。 這些錢包是Ledger Live，Edge和Breadwallet（BRD）。

ZenGo指出：「作為我們在比特幣錢包領域正在進行的安全研究的一部分，我們調查了在不同現有錢包之間使用比特幣的按需付費（RBF）功能的情況。」 「不幸的是，正如我們在此展示的 [report]，有些錢包不能很好地處理這種情況。」

ZenGo繼續指出，這些錢包有多種處理RBF交易的方式，但共同的主題是它們無法警告用戶這些交易的性質。 實際上，如果用戶認為已經付款，則他們可以授權服務，以便稍後才知道交易被取消。 ZenGo解釋說，這些錢包的工作要比普通錢包少，特別是在UI和UX方面，這使他們的用戶能夠識別可疑交易。

ZenGo研究人員報告說：「 BigSpender漏洞的核心核心問題是，脆弱的錢包沒有為可能取消交易的選擇做好準備，並隱含地假定它將最終被確認，」

為了使用戶免受此漏洞的侵害，ZenGo建議確保在區塊鏈上確認所有交易。 這可以通過使用塊瀏覽器來完成。 專家建議對每筆交易至少確認六（6）個確認，然後再繼續授權任何服務。 這樣，如果攻擊者取消了交易，則接收者可以及時看到取消。 但是，這只是用戶角色的一部分。 首先存在漏洞的錢包服務呢？

好吧，根據該報告，ZenGo聲稱某些錢包服務未能承擔起責任。 ZenGo的最大建議是為這些錢包創建一個更好的UI界面，以區分已確認交易和未決交易。

「在某些錢包中，未將錢包用戶界面中未確認交易的圖形表示與確認狀態區分開來，這使用戶更難理解這些交易尚未最終確定。」

但是，ZenGo確實按照慣例給了錢包服務90天的時間來修復該漏洞，然後再將其公開。 正如預期的那樣，某些錢包已向ZenGo支付了漏洞賞金，以獎勵其警告漏洞的努力。

如果您發現本文有趣，可以在此處找到更多區塊鏈和加密貨幣新聞。