Новый баг, получивший название Big Spender, попал в несколько популярных биткойн-кошельков.
Большой Спендер здесь, чтобы взять ваш крипто
Big Spender - это хакер с двойным расходом, который дает пользователям представление о том, что они получили деньги, а на самом деле их нет. Вместо этого человек, который в конечном итоге совершил транзакцию и соответствующие кошельки, перехватил криптовалюту, украл деньги и заменил их. Это в конечном итоге не позволяет получателю получить доступ к своему кошельку и использовать свои средства, пока хакер работает над тем, чтобы перенаправить его на кошелек, находящийся под его (или ее) контролем.
Проблема была обнаружена Zen Go, базирующейся в Тель-Авиве компанией, специализирующейся на биткойнах и криптовалютах. Представители утверждают, что проблема могла быть интегрирована в миллионы отдельных BTC и криптовалют. Среди известных кошельков, которые были затронуты на момент написания статьи, - Ledger Live, Edge и BRD (Bread).
Zen Go уже начал работать над этими кошельками, чтобы устранить их уязвимости. Компания также связалась с разработчиками оригинальных кошельков, чтобы сообщить им о сложившейся ситуации.
Старший инженер-программист в израильской компании Одед Лейба объяснил в своем заявлении:
Основная проблема, лежащая в основе уязвимости Big Spender, заключается в том, что уязвимые кошельки не готовы к тому, что транзакция может быть отменена, и неявно предполагают, что она будет в конечном итоге подтверждена. У этой небрежности много лиц. Прежде всего, баланс пользователя увеличивается на входящей транзакции, когда он не подтвержден, и не уменьшается, если транзакция расходуется дважды и, таким образом, эффективно отменяется.
Но в то время как Zen Go быстро продвигается, чтобы об уязвимости позаботиться заранее, не все реагируют положительно. И сотрудники Ledger, и BRD утверждают, что Zen Go использует неясные слова для описания ситуации, и говорят, что ни в одной из рассматриваемых транзакций не происходит двойных расходов.
Члены команды безопасности Ledger объясняют:
Фактические двойные расходы не выполняются. Пользовательские средства остаются в безопасности. Тем не менее отображение полученных транзакций может вводить в заблуждение
Пострадало так много больших кошельков
Если угроза двойных расходов реальна, то удивительно, как много криптовалютных кошельков стали ее жертвами. Например, BRD в настоящее время может похвастаться более чем пятью миллионами пользователей. Исполнительный директор Zen Go Оуриэль Охайон заявил:
Потенциально несколько миллионов пользователей были подвержены уязвимости до исправления на основе базы данных открытых номеров Ledger и BRD ... Это не означает, что нет других проблем или что другие кошельки не подвергаются атаке Big Spender ... Учитывая, что это может привести к в невозможности потратить ваши средства и в том, что это можно сделать в масштабе, этот [эксплойт] можно считать серьезным. Хаки постоянны. Безопасность - это непрекращающаяся битва, в которой сражаются представители отрасли, и которую не может выиграть ни один игрок, ни один продукт, не говоря уже об обновлении версии.
Комментариев нет:
Отправить комментарий