主流加密貨幣錢包遭爆漏洞 未確認交易也計入用戶餘額
▲Ledger、BRD、Edge等主流加密貨幣錢包中被發現漏洞。(圖/路透)
加密貨幣錢包商ZenGo昨(2)日發佈報告指出,於Ledger、BRD、Edge等主流加密貨幣錢包中發現一個漏洞,可令未確實收到付款的交易計入用戶的總餘額中,攻擊者可趁機撤銷該筆交易。
ZenGo將此攻擊稱作「BigSpender」。攻擊者將利用比特幣協議中的一項名爲「Replace-by-Fee」(RBF)的功能,旨在讓用戶以支付更高的手續費替換前一筆交易,使原始交易被取消。部分加密貨幣錢包會快速地將未經確認的交易計入餘額中,當用戶檢查餘額時,會以爲自己已經收到比特幣,但事實上對方可能已經替代了該筆交易,而用戶這端的餘額顯示卻不會反映對方的這項操作。
攻擊者可購買某件昂貴的物品,即便他並沒有足夠的比特幣仍可向買家發起BigSpender攻擊。舉例來說,攻擊者可發起10筆交易,每筆交易價值0.1 BTC,接收方會看到餘額增加1 BTC,但實際上,沒接收到任何比特幣。
由於錢包金額計算不正確,攻擊者甚至還可利用BigSpender的漏洞發起拒絕服務攻擊(denial-of-service)來凍結用戶的加密資產。不過值得一提的是,BigSpender並非比特幣協議中的漏洞,畢竟用戶的比特幣不會因此遭竊,但仍可能被利用來詐騙用戶。
對此, Ledger於官方公告指出,「BigSpender」並不是一個漏洞,不會讓攻擊者以任何方式存取用戶的加密貨幣,只是有惡意行爲者會利用該費用替代功能進行詐騙。爲避免相關的詐欺事件發生,Ledger已改進了Ledger Live的用戶體驗(UX)。此外,Ledger也表示,截至目前從未出現過用戶被欺騙的事件。