MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,924 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Все новости о платежных криптовалютах, таких как BitCoin, Ethereum, LiteCoin, Ripple и прочих подобных p2p валютах
Первый пост Опции темы
Старый 02.07.2020, 12:57
#1
Любитель
 
Имя: Иван Тихонов
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 19.07.2012
Сообщений: 18,447
Благодарностей: 70

награды Ветеран MMGP.RU 
ZenGo обнаружила уязвимость к атаке двойных трат в некоторых криптовалютных кошельках

Разработчики криптовалютного кошелька ZenGo без закрытых ключей и паролей обнаружили уязвимость к атаке двойных трат BigSpender, которой подвержены кошельки Ledger Live, Bread и Edge. Уязвимость к атаке двойных трат позволяет злоумышленникам тратить одни и те же монеты два или более раз. Мошенники могут отправить транзакцию с минимальной комиссией, а затем сразу же заместить ее, увеличив комиссию. Таким образом, майнеры получают стимул сначала проверить более выгодную новую транзакцию. Затем мошенники могут перенаправить средства на другой адрес.

Как отмечают разработчики, хотя уязвимость частично устранена, пользователи некоторых кошельков все еще могут стать ее жертвами. Согласно отчету ZenGo, кошельки Ledger и Bread не учитывали потенциальную отмену транзакции во время тестирования. Кроме того, они просто визуально вносили дополнительные средства на балансы пользователей, не дожидаясь подтверждения транзакций.

Цитата:
«Основная проблема, лежащая в основе уязвимости BigSpender, заключается в том, что уязвимые кошельки не готовы к тому, что транзакция может быть отменена, и косвенно предполагают, что она будет подтверждена в конечном итоге», – пояснили исследователи.
Ledger решил данную проблему путем очистки кэша и принудительной повторной синхронизации сети. Однако, в случае с Bread выход из этой ситуации может «представлять большие трудности».

Цитата:
«Эта проблема оставляет пользователю единственный выход – перенести сид из Bread в другой кошелек. Учитывая, что Bread имеет нестандартный вывод пар ключей из сида, осуществление этой операции, вероятно, будет непростым и потребует наличия технических навыков со стороны пользователя и, возможно, внешних инструментов», – поясняет ZenGo.
Ситуация с кошельком Edge несколько отличается, поскольку баланс кошелька увеличился только один раз для серии ожидающих подтверждения транзакций. Проблема была решена путем нажатия кнопки Resync в меню параметров.

В некоторых случаях уязвимость BigSpender может лишить пользователей возможности полностью вывести криптоактивы, поскольку часть их просто не существует, что приводит к неудачным транзакциям. В более серьезных случаях, например, при преднамеренных DDoS-атаках двойных трат, владельцы кошельков вообще не смогут выводить средства.

Цитата:
«В некоторых уязвимых кошельках от этой атаки трудно или даже невозможно оправиться. Даже переустановка кошелька не способствует повторной синхронизации с сетью Биткоина и показывает правильный баланс. Если восстановление невозможно, атака становится необратимой», – предупреждает ZenGo.
Компания заявила, что уведомила разработчиков уязвимых кошельков за 90 дней до публикации отчета, но только некоторые из них решили полностью устранить уязвимость.

Как утверждают разработчики ZenGo, Bread Wallet устранил уязвимость в версии 4.3 для iOS и Android. Разработчики Ledger «признали наличие уязвимости, исправили некоторые аспекты (только расширенный вариант) атаки в версии 2.6», но «другие варианты атаки еще не устранены». Edge также признал наличие уязвимости и планирует «исправить ее в будущем».

Технический директор Ledger Чарльз Гиллем (Charles Guillemet) подтвердил, что ZenGo сообщила об уязвимости, однако он утверждает, что BigSpender – это скорее «хитрая уловка», а не уязвимость в традиционном смысле.

Цитата:
«Важно понимать, что эта проблема может рассматриваться не как уязвимость, а как хитрая уловка. Но мы не хотим, чтобы кто-либо стал жертвой подобных хитроумных схем», – сказал Гиллем.
Он добавил, что Ledger «выпустит обновление для программного обеспечения Ledger Live, чтобы каждый раз, когда входящая транзакция еще не была подтверждена, отображалось соответствующее сообщение». Он также заявил, что аппаратные кошельки Ledger «не затронуты этим недостатком пользовательского интерфейса».

Напомним, что ранее в этом году команда ZenGo обнаружила уязвимость, которая может стать причиной кражи токенов пользователей практически со всех кошельков dApp.

Источник: Bits.media
polym0rph на форуме
Войдите, чтобы оставить комментарий.
Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Криптовалютный кошелек ZenGo привлек $4 млн от Samsung и Elron Alcest Новости криптовалют 4 19.04.2019 15:37
Хакер заработал более 18 млн $, посредством двойных трат в сети Bitcoin Gold pilot10 Новости криптовалют 0 26.05.2018 06:59
Финская компания F-Secure обнаружила новую уязвимость архитектуры Intel ttxz Новости технологий и интернета 4 15.01.2018 20:14
Qualcomm представляет систему двойных камер Clear Sight bizneser Новости технологий и интернета 0 16.09.2016 01:56
Путин предложил Обаме антитеррористический союз без двойных стандартов ElarGroup3 Политика и экономика 0 14.02.2016 17:23