蓝冠代理-蓝冠总代平台

招商主管Q374919
蓝冠总代平台

研究人员发现,比特币钱包存在漏洞,蓝冠代理

蓝冠客户端

蓝冠招商58255957,蓝冠待遇怎么样

一项新研究发现,比特币的标准交易方式可能会被滥用,导致一种双重消费。
 
一家名为ZenGo的钱包初创公司的区块链侦探发现了一个漏洞,该漏洞至少影响了三种主要的竞争加密钱包——Ledger Live、Edge和Breadwallet (BRD)——甚至可能影响更多。
 
这家位于特拉维夫的公司称这个漏洞为BigSpender,它允许黑客将用户的资金翻倍,并可能阻止他们再次使用自己的钱包。它的工作原理是利用了certain wallet处理比特币的RBF功能,该功能可以让用户将未经确认的交易与收费较高的交易进行交换。
 
ZenGo首席执行官欧亚永在一封电子邮件中说:“(大手大脚的人)会导致巨大的经济损失,蓝冠代理在某些情况下会让受害者的钱包完全无法使用,受害者没有办法保护自己。”“所以这可以被视为一场严重的攻击。”
 
与其他可选的比特币特性(如锁时交易)一样,RBF功能已经成为用户来回发送价值的标准方式。它被开发者社区推荐并接受,作为Bitcoiners通过支付更多费用来规避确认时间过长的一种方式。
 
匿名比特币研究人员0xB10C表示,从一开始,人们就担心RBF功能没有得到比特币钱包的良好支持,尽管它已经集成在比特币系统的协议层。ZenGo表示,用户可能会被欺骗,以为自己收到了比特币,其实他并没有收到。我相信这是新奇的。至少我以前没听说过,”他说。
 
该公司测试了9款不同的钱包,包括Ledger Live、Trust wallet、Exodus、Edge、Bread、Coinbase、Blockstream Green、区块链和Atomic wallet。在这些测试中,有三个被发现容易受到理论利用。
 
欧亚永说:“我们没有检查所有的钱包,但如果其中三个最大的钱包有牵连,那么可能还有更多的钱包。”ZenGo将其发现通知了这些公司,并给了他们90天时间来修复漏洞。
 
Edge首席执行官Paul Puey在一封邮件中表示,Ledger和BRD已经发布了代码以防止攻击的发生,并向ZenGo支付了未公开的bug奖金,而Edge正在进行“重大重构”以解决这个问题。
 
前比特币开发人员、RBF的架构师彼得托德(Peter Todd)说,黑客利用了某些钱包对待未经确认的交易(包括但不限于RBF交易)的一个已知弱点。
 
工作原理:攻击者将资金发送给他们的目标受害者,并将费用设置得很低,几乎可以保证交易不会收到确认。对于易受攻击的钱包来说,这笔交易将反映为收款人账户余额的增加,这可能会导致一些受害者错误地认为这笔交易已经被确认。然后,攻击者通过使用RBF将接收方更改为他们控制的地址来“取消”未决事务(用ZenGo的术语)。当受害者意识到交易实际上已经被取消时,他就已经交付了货物。
 
需要说明的是:在RBF之前,类似的攻击是可能发生的,但是在钱包提供商没有采取适当的预防措施的情况下,这种支付方式凸显了其风险。
 
受害者陈述和实际余额之间的差额可能会被恶意的行动者利用,他们欺骗人们提供商品或服务而不付钱——除了最低限度的费用。从这个意义上说,钱包的缺陷在于用户体验和UI设计。
 
双重麻烦吗?
 
据ZenGo的研究人员称,如果黑客能欺骗一个人,让他相信自己收到了付款,同时还能控制比特币,这就是双重消费。其他人则对这个词的这种用法表示异议。
 
“你必须决定什么是双重支出。大多数不是恶意交易的人会说double-spend(重复消费)是指你有一笔确认交易,但不知为何无效,而且是用另一笔确认交易完成的。”
 
这种攻击本质上利用了钱包显示未经确认交易的方式。从这个意义上说,这次攻击虽然具有欺诈性,但并没有破坏比特币代码的功能。
Lopp说:“区块链计划的全部目的是防止重复消费的问题。”“这可以追溯到最初的《Satoshi白皮书》,该白皮书称,解决重复支出的办法是建立一个许多人都在核对的分布式账本。”
 
惟一可以依赖的是已被挖掘的事务
 
0xB10C说,用比特币进行交易的经验法则是,永远不要相信少于六次确认的交易。这是许多开发者重复的一点,包括Todd, Lopp和BRD CTO Samuel Sutch。如果这一漏洞得以实施,受害者至少要承担部分责任。
 
“你唯一可以依赖的是已经被挖掘的交易,”Todd说。
 
在这个意义上,Sutch称BigSpender为“小缺陷”,“有点做作”,但也是值得修复和支付漏洞奖励的东西。Sutch说BRD的用户最近超过了500万。
 
Lopp说:“更多的钱包开发者需要知道他们的用户并不知道背后的区别。”从安全的角度来看,许多人甚至不知道确认和未确认之间的区别。所以开发者有责任建立更好的用户体验,这样他们就不会被这样的事情迷惑和欺骗。”
 
为此,Ledger更新了钱包显示待处理交易的方式。如果用户不确定使用块资源管理器“检查一个事务的状态”。莱杰的CTO Charles Guillemet在电子邮件中说:“现在你的银行不可能进行这样的验证。”
 
复视
 
更新钱包以清楚地显示RBF交易期间发生的事情对每个人都有好处。然而,蓝冠待遇怎么样?ZenGo的研究人员发现,还有一种二级攻击,与上述方案相同,可以在受害者知情或不知情的情况下使钱包永久失效。
 
在这种情况下,攻击者再次通过向受害者的钱包发送重复的交易来人为地增加受害者的余额。这可以在没有受害者同意的情况下进行。通过在确认交易前重新路由交易,受害者的钱包余额和实际资金再次分离,使他们的钱包无法使用。更糟糕的是,攻击可能同时影响多个钱包。
 
本质上,这是一种拒绝服务(DoS)攻击,阻止人们使用他们的钱包。
 
“如果钱包的硬币选择算法从这种不存在的交易中选择了资金,这也会阻止其他类型的发送尝试,”Ohayon说。用Sutch的话说,这些钱包被“封堵”了。“这是一个巨大的不便。”
 
Sutch说,BRD在收到警报后将该漏洞作为公司的首要任务。他说,奇怪的是,它在处理一个不相关的问题时成功地修复了这个漏洞。
 
ZenGo在其安全研究中提出的问题并没有局限于该团队测试的钱包。Sutch说,绝大多数比特币钱包都能够接受RBF交易,而它们背后的许多公司“资源有限”,无法立即提供解决方案。
 
当在Casa上启用RBF功能时,Lopp说他将系统配置为在确认之前不显示这些类型的事务,这在业内不是标准的。“默认参数会显示这些交易,”他说。

蓝冠总代

蓝冠|蓝冠代理-蓝冠总代平台,谢谢支持!

蓝冠总代平台