Hej, Big Spender! Stjäla inte min BTC
Big Spender är ett hack med dubbla spendera som ger användarna idén att de har fått pengar när de faktiskt inte har gjort det. Istället har den som i slutändan tagit över transaktionen och plånböckerna i fråga fångat kryptotransaktionen och stulit pengarna och ersatt den. Detta förhindrar så småningom mottagaren att komma åt sin plånbok och använda sina medel medan hackaren arbetar för att omdirigera dem till en plånbok i hans (eller hennes) kontroll.
Problemet upptäcktes av Zen Go, ett Tel Aviv-baserat bitcoin- och cryptocurrency-företag. Representanter hävdar att problemet kan ha integrerats i miljontals individuella Bitcoin Future – och kryptotapån. Bland de plånböcker som man känner till påverkades i skrivande stund är Ledger Live, Edge och BRD (Bread).
Zen Go har redan börjat arbeta med dessa plånböcker för att ta bort deras sårbarheter. Företaget har också kommit i kontakt med plånböckernas ursprungliga utvecklare för att informera dem om situationen.
Senior software engineer på det israeliska företaget Oded Leiba förklarade i ett uttalande:
Kärnfrågan i hjärtat av Big Spender-sårbarheten är att utsatta plånböcker inte är förberedda för alternativet att en transaktion kan avbrytas och implicit antar att den kommer att bekräftas så småningom. Denna försumlighet har många ansikten. Först och främst ökas en användares saldo vid en inkommande transaktion medan den inte är bekräftad och minskar inte om transaktionen är dubbelanvänd och därmed effektivt avbryts.
Men medan Zen Go rör sig snabbt för att säkerställa att sårbarheten tas om hand i förväg, reagerar inte alla positivt. Både och Ledger- och BRD-anställda hävdar att Zen Go använder oklart ordförande för att beskriva situationen och säger att det inte sker några dubbla utgifter i någon av de aktuella transaktionerna.
Medlemmar i Ledger-säkerhetsteamet förklarar:
Det finns ingen faktisk dubbel spendering som utförs. Användarfonderna förblir säkra. Ändå kan visningen av mottagna transaktioner vara vilseledande.
Så många stora plånböcker påverkas
Om hotet med dubbla utgifter är verkligt är det förvånande hur många mainstream-kryptotångar som fallit offer för det. BRD, till exempel, har för närvarande mer än fem miljoner användare. Chef för Zen Go Ouriel Ohayon uttalade:
Potentiellt flera miljoner användare exponerades före fixingen baserat på användarbasen för Ledger och BRD publika nummer … Det betyder inte att det inte finns några andra problem eller att andra plånböcker inte utsätts för Big Spender-attacken … Med tanke på att detta kan leda till i omöjligt att spendera dina pengar och det faktum att detta kan göras i skala, kan detta [utnyttja] betraktas som allvarligt. Hacks är konstant. Säkerhet är en pågående strid som branschen utkämpar och som inte kan vinnas av en enda spelare eller en enda produkt, än mindre en versionuppdatering.