COM:财经狐：研究人员发现比特币钱包中的缺陷可能会被双重利用_OMP

新的研究发现，可能会误用一种标准的比特币交易方式来实现双倍支出。

钱包初创公司ZenGo的区块链侦探发现了一个漏洞，该漏洞至少影响了三个主要的竞争加密钱包-LedgerLive，Edge和Breadwallet-甚至可能更多。

该漏洞被总部位于特拉维夫的公司称为BigSpender，它使黑客能够将用户的资金花费双倍，并可能阻止用户再次使用其钱包。它通过利用某些钱包的处理方式来处理比特币的按需收费功能，该功能具有故障保护功能，使用户能够将未经确认的交易与费用较高的交易进行交换。

ZenGo首席执行官OurielOhayon在一封电子邮件中说：“可能会导致重大的财务损失，并在某些情况下使受害者的钱包完全无法使用，而受害者无法保护自己。”“因此，这可以看作是严重程度很高的攻击。”

金色财经挖矿数据播报：BTC今日全网算力上涨0.6%:金色财经报道，据蜘蛛矿池数据显示：

BTC全网算力178.429 EH/s，挖矿难度20.61T，目前区块高度682856，理论收益0.00000645/T/天。

ETH全网算力598.592TH/s，挖矿难度7472.91T，目前区块高度12403883，理论收益0.00422941/100MH/天。

BSV全网算力0.88EH/s，挖矿难度0.12T，目前区块高度686543，理论收益0.00102492/T/天。

BCH全网算力4.163 EH/s，挖矿难度0.48T，目前区块高度687233，理论收益0.00021617 /T/天。[2021/5/10 21:42:48]

像其他具有相关漏洞的可选比特币功能一样，RBF功能已成为用户来回传递价值的标准方式。它被开发者社区推销并接受，作为比特币人通过支付更多费用来规避缓慢确认时间的一种方式。

金色财经挖矿数据播报 | BTC今日全网算力上涨2.10%:金色财经报道，据蜘蛛矿池数据显示：

BTC全网算力116.012EH/s，挖矿难度16.79T，目前区块高度655617，理论收益0.00000960/T/天。

ETH全网算力261.678TH/s，挖矿难度3305.08T，目前区块高度11200996，理论收益0.00672326/100MH/天。

BSV全网算力1.227EH/s，挖矿难度0.18T，目前区块高度660040，理论收益0.00073329/T/天。

BCH全网算力1.828EH/s，挖矿难度0.25T，目前区块高度660290，理论收益0.00049241/T/天。[2020/11/6 11:49:26]

匿名的比特币研究人员0xB10C表示，从一开始，人们就担心尽管RBF功能已集成在比特币系统的协议层中，但并未得到比特币钱包的充分支持。“ZenGo表明，用户可能被，以为他没有收到比特币。我相信这是新颖的。我至少以前没有听说过，”他说。

金色财经现场报道 上海自贸区金融研究室刘斌：现在区块链技术应用在国内信用证中:金色财经现场报道，在今天举办的2018金融科技上海峰会暨区块链世界论坛上，中国(上海)自贸区研究院金融研究室主任刘斌在“金融科技创新与区块链应用实践”演讲中指出：“现在流行的区块链技术应用在国内信用证中，改变了银行传统信用证业务模式，信用证的开立、通知、交单、承兑报文、付款报文各个环节均通过该系统实施，缩短了信用证及单据传输的时间，报文传输时间可达秒级，大幅提高了信用证业务处理效率，同时利用区块链的防篡改特性提高了信用证业务的安全性。\"[2018/4/19]

该公司测试了九种不同的钱包，包括LedgerLive，Trust钱包，Exodus，Edge，Bread，Coinbase，BlockstreamGreen，Blockchain和AtomicWallet。在测试的对象中，发现有三个很容易受到理论攻击。

金色财经独家分析 日本在虚拟币支付领域潜力大:彭博社昨日总结了日本传统巨头进军区块链的情况，电商、社交、游戏、银行、证券巨头都已开始布局。金色财经分析，在中心化的支付领域，日本显得极为保守，日常支付中信用卡、现今支付仍为主流，社交巨头推出的linepay在日本普及度远远低于微信支付、支付宝等在中国的地位。至于虚拟货币日本的兴趣更大，已经有350万人口用虚拟货币交易，占其总人口的3%，相对虚拟货币发展历史，已经是不小的规模，加之日本国内对于虚拟货币监管的环境，人本有望在虚拟货币支付这一站扭转传统移动端支付落后的局面。[2018/4/16]

Ohayon说：“我们还没有测试所有的钱包，但是如果涉及到其中三个最大的钱包，那么可能还会更多。”ZenGo将发现的结果通知了公司，并给了他们90天的时间修复漏洞。

金色财经现场报道，启赋资本投资总监兰洪明：投资区块链应淡化其项目的概念:金色财经现场报道，启赋资本投资总监兰洪明在共识·链上未来丨区块链应用与创新论坛上表示，对于区块链的投资，我们应该淡化其区块链的概念、理解区块链背后的本质、并对业务、产品、服务所创造的实际价值进行价值判断。[2018/4/10]

EdgeCEOPaulPuey在一封电子邮件中说，Ledger和BRD已经发布了代码更改以防止攻击发生，并向ZenGo支付了未公开的bug赏金，而Edge正在进行“重大重构”以解决该问题，Edge首席执行官PaulPuey在一封电子邮件中表示。

前比特币开发商，RBF的建筑师彼得·托德说，这种黑客利用了某些钱包如何处理未经确认的交易的已知漏洞，包括但不限于RBF。

工作原理：攻击者将资金发送给预定的受害者，并将费用定得足够低，几乎可以保证交易不会收到确认。对于易受攻击的钱包，此未完成的交易将反映为收件人的帐户余额的增加，可能导致某些受害者错误地认为已确认了该未完成的交易。然后，攻击者通过使用RBF将接收者更改为他们控制的地址，以ZenGo的术语“取消”待处理的交易。当受害者意识到交易实际上已被取消时，他将交付货物。

需要明确的是：在RBF之前可能会发生类似的攻击，但是在钱包提供商没有采取适当预防措施的情况下，付款方式突显了这种风险。

恶意行为者可以利用受害人陈述的余额与实际余额之间的这种差异，诱使人们在不支付费用的情况下提供商品或服务，但所花的费用很少。从这个意义上讲，缺陷在于钱包的UX和UI设计。

双重麻烦？

ZenGo的研究人员说，如果黑客可以诱一个人相信他们已经收到付款，同时又保持对比特币的控制权，那么这就是双花。其他人对此术语的使用提出异议。

“您必须确定双重支出的定义是什么。多数不是巨魔的人会说，双倍支出是指您有一笔已确认的交易因某种原因而无效并花费在另一笔已确认的交易上，”保管公司Casa的首席技术官JamesonLopp说道。

本质上，这种攻击利用了钱包显示未确认交易的方式。从这个意义上讲，这种攻击并没有破坏比特币代码的运行方式。

洛普说：“区块链的全部目的是防止双重支出问题。”“它可以追溯到原始的Satoshi白皮书，该白皮书说，双花的解决方案是拥有许多人正在检查的分布式分类帐。”

您唯一可以依靠的是已开采的交易

0xB10C说，与比特币进行交易的一般经验法则是，永远不要信任少于六个确认的交易。包括Todd，Lopp和BRDCTOSamuelSutch在内的许多开发人员都重申了这一点。如果此漏洞利用得以实现，那么受害者至少应承担部分责任。

“您唯一可以依靠的是已经开采的交易，”托德说。

从这个意义上讲，Sutch将BigSpender称为“次要错误”和“人为的”，但也值得修复并为此付出赏金。Sutch说，BRD最近通过了500万用户。

洛普说：“更多的钱包开发人员需要知道他们的用户并不了解其内在区别。”从安全的角度来看，许多人甚至都不知道已确认和未确认之间的区别。因此，开发人员有责任建立更好的用户体验，这样他们就不会被诸如此类的事情所迷惑和。”

为此，Ledger更新了钱包显示待处理交易的方式。如果用户不确定使用块浏览器“检查交易状态”。Ledger的首席技术官CharlesGuillemet在电子邮件中说：“今天的银行无法进行这种验证。”

双重视野

更新钱包以清楚地显示RBF交易期间发生的事情对于每个参与人员都是一件好事。但是，ZenGo的研究人员发现，存在第二种攻击，该攻击遵循上述相同的方案，并且无论受害者是否知道交易，都可能永久禁用钱包。

在这种情况下，攻击者再次通过向受害者的钱包发送重复交易来人为地虚增受害者的余额。这可以在未经受害者同意的情况下完成。通过在确认交易之前重新路由交易，受害者的钱包余额和实际资金再次分离，从而使他们的钱包无法使用。更糟糕的是，攻击可能同时影响多个钱包。

从本质上讲，这是拒绝服务攻击，阻止人们使用钱包。

Ohayon说：“如果钱包的硬币选择算法从这笔不存在的交易中选择资金，这也会使其他种类的发送尝试失效。”用Sutch的话来说，这些钱包是“砖状的”。“这带来了极大的不便。”

Sutch说，BRD在收到警报后将漏洞作为公司的首要任务。他说，奇怪的是，它在解决一个不相关的问题时设法修复了该错误。

ZenGo的安全性研究提出的问题并未被团队测试的钱包所隔离。在绝大多数的Bitcoin钱包都能够接收RBF交易，其中许多人背后的公司是“资源约束”，Sutch说，并不能立即提供修补程序。

Lopp说，在Casa上启用RBF功能时，他将系统配置为在确认之前不显示这些类型的交易，这在行业中是非标准的。他说：“默认参数将显示这些交易。”

标签：COMDGECOMPOMPCompoundPoly Bridgecomp币价格今日行情OMP币

BNB热门资讯