Forscher entdecken Fehler in großen Bitcoin-Brieftaschen

Forscher entdecken Fehler in großen Bitcoin-Brieftaschen, die Benutzer dazu verleiten könnten, zu glauben, sie hätten BTC erhalten

Bitcoin Wallet ZenGo hat die „BigSpender“-Schwachstelle aufgedeckt, die in vielen Krypto-Brieftaschen vorhanden ist, wobei ein Anleger eine Transaktion bei Bitcoin Profit abbrechen kann, das Geld aber trotzdem in der Brieftasche des Opfers erscheinen lassen kann.

Durch den „BigSpender“-Angriff erzeugt der Hacker die Illusion, dass es Bitcoins in der Brieftasche des Opfers gibt, nur dass dies nicht der Fall ist. Die Brieftasche wird auch beschädigt, so dass das Opfer nicht in der Lage sein wird, das darin verbliebene Geld auszugeben oder zu verwenden.

ZenGo deckte diese Schwachstelle auf, nachdem er die Brieftaschenanbieter, die für diesen Angriff anfällig sind, informiert hatte. Das Unternehmen behauptete, dass nur einige ihre Brieftaschen repariert hätten, um diese Art von Angriffen zu verhindern, und als solches deckte es die Schwachstelle nach der üblichen 90-Tage-Benachrichtigung der freigelegten Bitcoin-Brieftaschen der Öffentlichkeit auf.

Die Bitcoin-Blockkette verfügt über einen Mechanismus namens Replace-By-Fee (RBF), eine Weiterleitungsrichtlinie, die eine 0-conf-Transaktion (Transaktionen mit null Bestätigungen) signalisieren kann, die vom Benutzer durch die nächste Transaktion ersetzt werden soll. Um dies zu tun, wird dem Benutzer empfohlen, die gleichen Münzen auszugeben und eine höhere Gebühr zu entrichten. RBF verlangt vom Benutzer und den Wallet-Apps, unbestätigte Transaktionen als unsicher zu identifizieren.

Laut ZenGo haben viele Brieftaschen dies versäumt, so dass die als „BigSpender“ bezeichnete Schwachstelle möglich ist. „Anfällige Brieftaschen sind nicht auf die Option vorbereitet, dass eine Transaktion abgebrochen werden könnte und gehen implizit davon aus, dass sie irgendwann bestätigt wird“, sagte ZenGo in seinem Blogbeitrag zur Offenlegung.

Die Schwachstelle lässt die Brieftaschen der Benutzer so aussehen, als hätten sie mehr Bitcoins, auch wenn die eingehende Transaktion noch unbestätigt ist. Darüber hinaus erscheinen die abgebrochenen Transaktionen nicht in der Liste der abgebrochenen Transaktionen, und UTXO könnte immer noch von der Wallet-Anwendung ausgewählt werden, obwohl die Transaktion tatsächlich nicht stattfindet.

Aufgrund von „BigSpender“ kann ein Angreifer gegen eine Mindestgebühr einen einfachen Angriff mit doppelten Ausgaben durchführen, so dass dieser lange Zeit anhängig ist. Der Angreifer kann grundsätzlich um eine Ware oder Dienstleistung bitten, und wenn die Ware oder Dienstleistung erbracht ist, kann der Angreifer die Transaktion abbrechen. Das Opfer wird jedoch glauben, dass sich das Geld auf seinem Konto befindet, weil die von ihm verwendete Bitcoin-Brieftasche die Transaktion als erfüllt betrachtet.

Der Angreifer könnte dies noch verstärken, indem er wiederholt kleine Bitcoin-Beträge sendet und diese dann aufgrund des Fehlers storniert.

Und schließlich, weil die anfällige Brieftasche eine Transaktion als erfüllt ansieht, auch wenn sie nicht erfüllt ist, könnte ein Benutzer, der versucht, seine Bestände abzuheben, gescheiterte Transaktionen erleben, weil die Brieftasche versucht, Münzen auszuwählen, die in Wirklichkeit nicht vorhanden sind.

ZenGo sagte, dieser Angriff sei entweder „schwer oder unmöglich, sich davon zu erholen“. Die anfällige Brieftasche bei Bitcoin Profit würde sich nicht wieder mit dem Netzwerk synchronisieren, um den korrekten Kontostand anzuzeigen, wodurch sie korrumpiert würde.

ZenGo informierte die Anbieter, und unter ihnen haben Bread Wallet und Ledger Live das Problem behoben. Edge Wallet bestätigte die Schwachstelle, hat sie aber noch nicht behoben. ZenGo sagte jedoch, dass das Problem, dass Edge einen falschen Saldo anzeigt, durch Klicken auf „Resync“ in den Optionen behoben werden kann.