Neves bitcoin tárcákban is lehetséges a dupla költés? A Ledger is szerepel a listán
A ZenGo wallet fejlesztői potenciális hibaforrást találtak több nagy kriptopénztárca kódjában. A hiba nagyrészt azóta kiküszöbölésre került, maradtak viszont még gyenge pontok.A fejlesztők egy részletes jelentésben közölték a BigSpender névre keresztelt sebezhetőség felfedezését, amelyet olyan kriptopénztárcákban találtak meg, mint a Ledger Live, a Bread vagy az Edge. A legrosszabb forgatókönyv esetén a felhasználók akár a kriptoeszközeiket is elveszíthetik.
A problémákat időközben részben megoldották, viszont maradtak még gyenge pontok az említett tárcák némelyikében.
A dupla költés (double spending) olyan rosszindulatú művelet, amely során az elkövető kettő vagy több alkalommal is megpróbálja elkölteni ugyanazokat a coinokat. Ez a gyakorlatban úgy néz ki, hogy a felhasználó elküld egy tranzakciót a legalacsonyabb díjjal, majd rögtön ezután frissíti azt egy nagyobb tranzakciós díj és egy új cím megadásával. Ekkor a bányászok értelemszerűen a drágább utalást veszik előre, viszont a rendszerben bent marad a régi, alacsony díjjal rendelkező tranzakció is.
A jelentés alapján a Ledger és a Bread rendszerében a tesztelés idején nem lett figyelembe véve a visszavont tranzakció, hanem még a konfirmáció előtt megjelenítették a coinokat a felhasználó tárcájában, egyszerűen átírva az egyenleget.
„A BigSpender azon alapul, hogy az érintett tárcák nincsenek felkészülve arra, hogy mit tegyenek egy tranzakcióval, mikor azonnal visszavonják azt, továbbra is úgy kezelik, mint végrehajtandót.” – részletezték a fejlesztők.
A Ledger esetében a gyorsítótár törlése és a hálózat újraszinkronizálása megoldja a problémát, a Bread-nél viszont nem ilyen egyszerű a helyzet.
„A Bread így lehetővé teszi, hogy a seed-sor egy másik tárcába is be legyen importálva. A Bread kódja nem a legmegszokottabb, szóval ez nem egy egyszerű dolog, és akár más, külső programok is szükségesek lehetnek hozzá, a megfelelő tapasztalat mellett persze.”
– nyilatkozta a ZenGo.
Az Edge esetében szintén egy újraszinkronizálással megoldható a dolog. A jelentés kitér rá, hogy az Edge-nél csupán egyszer tapasztalták az egyenleg látszólagos növekedését számos függőben lévő tranzakciót követően. Bizonyos körülmények között a BigSpender akár a teljes kiutalást is lehetetlenné teheti, hiszen az egyenleg egy része valójában nem létezik a hibás tranzakciók miatt, csak úgy látszik. Amennyiben pedig a tárca folyamatos DDos támadás alá kerül, akkor egyáltalán nem lehetséges a kriptopénzek kiutalása.
„Néhány esetben egy ilyen támadást már nem is lehet visszacsinálni, vagy csak nagyon nehezen. Még egy újratelepítés és újraszinkronizálás sem biztos, hogy segít. Ha pedig nem tud újraszinkronizálódni a Bitcoin hálózatával a tárca, akkor véglegesen beragad a támadás állapotába.”
Sebezhetőség vagy trükközés?
A jelentésben leírták, hogy az érintett kriptopénztárcák fejlesztőit a nyilvánosságra hozatal előtt 90 nappal már értesítették, de még nem minden hibát javítottak ki.
A ZenGo jelentésében látható, hogy a Bread egy frissítéssel mind az androidos, mind az iOs tárcáját kijavította. A Ledger a kérdéses sebezhetőség összetevőinek „egy részét javította, de még nem minddel készültek el”, az Edge pedig szintén tud a sebezhetőségről, viszont csak a jövőben tervezi azt megoldani. A Ledger technológiai vezetője, Charles Guillemet a sajtónak is megerősítette, hogy a cégük megkapta a ZenGo értesítését pár hónapja, bár őszerinte ez inkább trükkös csalási lehetőség, mint a hagyományos értelemben vett sebezhetőség.
„Fontos megkülönböztetnünk a sebezhetőséget, és a potenciális trükközés lehetőségét. Ez a hiba pedig inkább ez utóbbinak tűnik, tehát nem sebezhetőség. Természetesen nem akarjuk, hogy bárki is áldozatul essen egy ilyen dolognak, így megtesszük a szükséges lépéseket. A frissített programban a megerősítetlen tranzakciókról minden esetben értesítést fog kapni a felhasználó.”
– nyilatkozta Charles Guillemet
Ezeket olvastad már?
- A 7 legjobb bitcoin pénztárca mobilra
- 8 nyomós ok, amiért neked is Brave böngészőt kellene használnod 2020-ban
- 9 módszer, hogyan kereshetsz pénzt kriptovalutákkal 2020-ban
Érdekelnek a kriptopénzek? Ne maradj le a legérdekesebb infókról, csatlakozz hozzánk a lenti elérhetőségeken!
| Kezdőknek | Közösség | Egyéb |
|---|---|---|
| Bitcoin Útmutató | Likeolj minket Facebookon! | Legfrissebb Hírek |
| Ethereum Útmutató | Csatlakozz Discord-on! | Videók |
| Kripto Szótár | Kövess minket Youtuben is! | Altcoinok |
