2 июля криптобезопасная фирма ZenGo обнаружила эксплойт с двойными затратами под названием BigSpender, нацеленный на несколько популярных биткоин-кошельков (BTC).
Кошельки BRD, Ledger Live и Edge оказались уязвимыми для атаки. Эти три компании обновили свои продукты после того, как ZenGo уведомил их об угрозе.Однако фирма предупредила, что миллионы криптопользователей могли быть подвержены эксплойту до его идентификации.
Несмотря на стремление кошельков защитить себя от BigSpender, сторонник Bitcoin Cash (BCH) Хейден Отто утверждает, что уязвимость присуща Биткоину и все еще может быть использована.
Биткоин уязвим
BigSpender был обнаружен благодаря продолжающемуся исследованию ZenGo в функции Bitcoin «Заменить платой» (RBF).
По словам охранной фирмы:
«RBF – это стандартный метод, позволяющий пользователям отменять еще не подтвержденную транзакцию путем отправки другой транзакции, тратящей те же монеты но в другое место назначения с более высокой комиссией».
BigSpender – не первый случай, когда эксплойт нацелен на уязвимости RBF, чтобы выполнить атаку с двойным расходом, с аналогичной техникой, которая описана в видео Эксплойт возможен только с нулевым подтверждением.
Отто заявил, что атаки RBF особенно касаются торговцев, принимающих BTC.
Сторонник BCH описал этот эксплойт как проблему с самим BTC, добавив, что он не имеет ничего общего с различным программным обеспечением кошелька.
Кошельки бросают вызов серьезности угрозы
Однако не все убеждены, что BigSpender представляет собой серьезную угрозу для Биткоин, поскольку провайдеры кошельков, подверженные уязвимости бросают вызов языку, который используют исследователи ZenGo.
В беседе с Forbes Леджер утверждал:
«Фактических двойных расходов не производится. Пользовательские средства остаются в безопасности. Тем не менее, отображение полученных транзакций может вводить в заблуждение».
Это заставить торговцев передать товары до того, как средства были переведены из-за вводящего в заблуждение показа. Продавцы, которые ждут подтверждения транзакций перед отправкой товара, не рискуют быть затронутыми.
ZenGo выпустила бесплатный инструмент с открытым исходным кодом, который позволяет провайдерам кошельков тестировать свои продукты и защищаться от уязвимости BigSpender. Фирма отметила, что не все кошельки, затронутые эксплойтом, внедрили обновления.
