Menu Close

'Dana Aman' Setelah Kerentanan 'BigSpender' Ditemukan

Crypto Hardware Wallet Ledger:

Kerentanan baru-baru ini ditemukan oleh ZenGo dalam dompet cryptocurrency yang populer, Ledger, Edge, dan BRD. Dinamakan BigSpender, kerentanan dapat menyebabkan pengeluaran ganda dan saldo yang salah pada dompet.

Pengeluaran ganda menghabiskan uang yang sama lebih dari sekali dan mencegahnya adalah salah satu tugas paling penting dari sistem mata uang digital apa pun.

Masalah dengan BigSpender adalah bahwa “rentan dompet tidak siap untuk opsi bahwa transaksi mungkin dibatalkan dan secara implisit menganggap itu akan dikonfirmasi pada akhirnya. "

Kelalaian ini menghasilkan peningkatan saldo pengguna pada transaksi masuk yang belum dikonfirmasi tetapi tidak berkurang jika transaksi dihabiskan dua kali lipat.

Implikasi lain termasuk keadaan transaksi yang dibatalkan yang tidak diperbarui dalam riwayat transaksi pengguna, koin transaksi yang dibatalkan masih dipilih oleh perangkat lunak dompet, dan antarmuka pengguna yang tidak dibedakan dengan baik dari keadaan yang dikonfirmasi.

Mudah dengan Risiko Minimal

Kerentanan itu ditemukan ketika sedang menyelidiki penanganan fitur Bitcoin's Replace-by-Fee (RBF), metode standar yang memungkinkan pengguna untuk "membatalkan" transaksi yang belum dikonfirmasi dengan mengirimkan transaksi lain, menghabiskan koin yang sama dengan biaya yang lebih tinggi.

Karena sifat standar RBF, penyerang dapat dengan mudah dan dengan peluncuran risiko minimal pembelanjaan ganda dasar, serangan amplifikasi, dan Denial-of-Service (DoS) BigSpender.

Menurut ZenGo melaporkan, di beberapa dompet rentan, serangan ini sulit atau bahkan tidak mungkin untuk pulih dari mana serangan DoS menjadi permanen.

Penyerang bahkan tidak membutuhkan sejumlah besar uang untuk meluncurkan serangan, mereka hanya membayar biaya pembatalan kecil. Dan mereka melakukannya dengan mengirimkan sejumlah kecil kepada banyak pengguna dompet yang rentan karena tidak memerlukan persetujuan korban yang kemudian tidak dapat menggunakan dana mereka.

Dana aman

BRD telah mengaitkan perbaikan sementara Tepi dan buku besar sedang mengerjakannya. Buku Besar dan BRD telah menyerahkan penghargaan hadiah bug kepada ZenGo.

“Tidak ada pengeluaran ganda aktual yang dilakukan. Pengguna dana tetap aman, ”kata Ledger kepada Forbes.

Dalam nya tanggapan resmi, Ledger meyakinkan bahwa "itu bukan kerentanan, melainkan sepotong rekayasa sosial yang cerdik di mana aktor jahat akan mencoba menipu Anda." Kerentanan tidak dapat digunakan untuk mendapatkan frasa pemulihan 24 kata atau mengakses crypto Anda dengan cara apa pun. Dana Anda aman, katanya.

ZenGo juga telah merilis alat open-source memeriksa kerentanan BigSpender Anda di dompet Bitcoin.