主流加密货币钱包遭爆漏洞 未确认交易也计入用户余额
▲Ledger、BRD、Edge等主流加密货币钱包中被发现漏洞。(图/路透)
加密货币钱包商ZenGo昨(2)日发布报告指出,于Ledger、BRD、Edge等主流加密货币钱包中发现一个漏洞,可令未确实收到付款的交易计入用户的总余额中,攻击者可趁机撤销该笔交易。
ZenGo将此攻击称作「BigSpender」。攻击者将利用比特币协议中的一项名为「Replace-by-Fee」(RBF)的功能,旨在让用户以支付更高的手续费替换前一笔交易,使原始交易被取消。部分加密货币钱包会快速地将未经确认的交易计入余额中,当用户检查余额时,会以为自己已经收到比特币,但事实上对方可能已经替代了该笔交易,而用户这端的余额显示却不会反映对方的这项操作。
攻击者可购买某件昂贵的物品,即便他并没有足够的比特币仍可向买家发起BigSpender攻击。举例来说,攻击者可发起10笔交易,每笔交易价值0.1 BTC,接收方会看到余额增加1 BTC,但实际上,没接收到任何比特币。
由于钱包金额计算不正确,攻击者甚至还可利用BigSpender的漏洞发起拒绝服务攻击(denial-of-service)来冻结用户的加密资产。不过值得一提的是,BigSpender并非比特币协议中的漏洞,毕竟用户的比特币不会因此遭窃,但仍可能被利用来诈骗用户。
对此, Ledger于官方公告指出,「BigSpender」并不是一个漏洞,不会让攻击者以任何方式存取用户的加密货币,只是有恶意行为者会利用该费用替代功能进行诈骗。为避免相关的诈欺事件发生,Ledger已改进了Ledger Live的用户体验(UX)。此外,Ledger也表示,截至目前从未出现过用户被欺骗的事件。