Rejoignez-Nous sur

Des chercheurs révèlent une faille dans les portefeuilles Bitcoin qui pourrait être exploitée pour doubler les dépenses

stephen dawson 670638 unsplash

News

Des chercheurs révèlent une faille dans les portefeuilles Bitcoin qui pourrait être exploitée pour doubler les dépenses

Une nouvelle méthode de transaction Bitcoin pourrait être vulnérable à une double dépense, selon de nouvelles recherches. Les détectives de blockchain de ZenGo, une startup de portefeuilles, ont trouvé une vulnérabilité qui affectait au moins trois portefeuilles cryptographiques majeurs – Ledger Live, Edge et Breadwallet (BRD) – et potentiellement plus.

Le bogue, que la société basée à Tel Aviv appelle BigSpender, permet à un pirate de dépenser deux fois les fonds d'un utilisateur et éventuellement de l'empêcher de réutiliser son portefeuille. Il fonctionne en exploitant une faille dans Bitcoin's fonction de remplacement par frais (RBF), une sécurité intégrée qui permet aux utilisateurs d'échanger une transaction non confirmée avec une transaction qui a des frais plus élevés.

"(BigSpender) peut entraîner des pertes financières substantielles et, dans certains cas, rendre le portefeuille de la victime totalement inutilisable sans aucun moyen pour la victime de se protéger", ZenGo Le PDG Ouriel Ohayon a déclaré dans un e-mail. "Donc cela peut être vu comme un attaque de gravité élevée. "

Comme d'autres vulnérabilités trouvées dans la base de code principale de Bitcoin, telles que transactions chronométrées, la fonction RBF est devenue un moyen standard pour les utilisateurs d'envoyer des valeurs dans les deux sens. Il a été présenté et accepté par la communauté des développeurs comme un moyen pour les Bitcoiners de contourner les temps de confirmation lents en payant plus de frais.

Voir aussi: Raphael Auer – Le trilemme de la sécurité et l'avenir du Bitcoin

Dès le départ, on craignait que la fonction RBF ne soit pas bien supporté par les portefeuilles Bitcoin, bien qu'il soit intégré à la couche de protocole de Bitcoin, a déclaré le chercheur pseudonyme Bitcoin 0xB10C. «ZenGo montre qu'un utilisateur peut être amené à croire qu'il reçoit du bitcoin alors qu'il ne le fait pas. Je pense que c'est nouveau. Je n'en ai au moins jamais entendu parler auparavant », a-t-il déclaré.

L'entreprise a testé neuf portefeuilles différents, notamment Ledger Live, Trust wallet, Exodus, Edge, Bread, Coinbase, Blockstream Green, Blockchain et Atomic Wallet. Parmi ceux testés, trois se sont révélés vulnérables à l'exploit théorique.

"Nous n'avons pas testé tous les portefeuilles, mais il se pourrait que si trois des plus grands soient impliqués, il en existe plus", a déclaré Ohayon. ZenGo a alerté les entreprises de ses conclusions et leur a donné 90 jours pour réparer la vulnérabilité.

Ledger et BRD ont publié des modifications de code pour empêcher l'attaque de se produire et payé de grosses primes non divulguées à ZenGo, tandis qu'Edge subit actuellement un «  refactor important '' qui résoudra le problème, a déclaré le PDG d'Edge, Paul Puey, dans un e-mail.

Le hack exploite une vulnérabilité connue dans la façon dont certains portefeuilles traitent les transactions RBF de Bitcoin, Peter Todd, développeur Bitcoin et Architecte de RBF, m'a dit.

Comment cela fonctionne: les attaquants envoient des fonds à leur victime et fixent des frais suffisamment bas pour garantir presque que la transaction ne recevra pas de confirmation. Pendant que la transaction est en attente, l'attaquant l'annule. Pour les portefeuilles vulnérables, cette transaction en attente se traduira par une augmentation du solde du compte d'un utilisateur et, par conséquent, pourrait conduire certaines victimes à croire à tort que la transaction a été effectuée, bien qu'elle ait été annulée.

Cet écart entre l'équilibre déclaré et réel d'une victime pourrait être exploité par des acteurs malveillants incitant les gens à fournir des biens ou des services sans les payer – à l'exception du montant minimal des frais dépensés. En ce sens, la faille concerne la conception UX et UI d'un portefeuille.

Double problème?

Si un pirate peut tromper une personne en lui faisant croire qu'elle a reçu un paiement, tout en maintenant le contrôle du bitcoin, c'est un double dépense, selon les chercheurs de ZenGo.

«Vous devez décider quelle est la définition d'une double dépense. La plupart des gens qui ne sont pas des trolls diraient qu'une double dépense, c'est quand vous avez une transaction confirmée qui est en quelque sorte invalidée et dépensée avec une transaction confirmée différente », a déclaré Jameson Lopp, directeur technique de la startup Casa, en niant les affirmations des chercheurs. .

Cette attaque, de par sa nature, profite de la façon dont les portefeuilles affichent les transactions non confirmées. En ce sens, l'attaque – bien que frauduleuse – ne rompt pas le fonctionnement du code Bitcoin.

"L'intérêt de la blockchain est d'empêcher le problème des doubles dépenses", a déclaré Lopp. "Cela remonte à l'original Satoshi papier blanc, qui dit que la solution au double-dépense est d'avoir un grand livre distribué que beaucoup de gens vérifient. »

La seule chose sur laquelle vous pouvez compter est les transactions qui ont été extraites

Une règle générale lors d'une transaction avec Bitcoin est de ne jamais faire confiance à une transaction avec moins de six confirmations, a déclaré 0xB10C. Ce point a été répété par un certain nombre de développeurs, dont Todd, Lopp et BRD CTO Samuel Sutch. Si cet exploit se poursuit, au moins une partie de la responsabilité incombe à la victime.

"La seule chose sur laquelle vous pouvez compter, ce sont les transactions qui ont été extraites", a déclaré Todd.

En ce sens, Sutch a appelé BigSpender un «bug mineur» et «un peu artificiel», mais aussi quelque chose qui mérite d'être corrigé et payé une prime de bug. BRD a récemment dépassé 5 millions d'utilisateurs, a déclaré Sutch.

"Plus de développeurs de portefeuilles doivent savoir que leurs utilisateurs ne connaissent pas les distinctions sous le capot", a expliqué Lopp siad. Beaucoup ne savent même pas la différence entre confirmé et non confirmé du point de vue de la sécurité. Il incombe donc aux développeurs de créer une meilleure expérience utilisateur afin qu'ils ne puissent pas être confondus et fraudés par des choses comme celle-ci. »

À cette fin, Ledger a mis à jour la façon dont le portefeuille affiche les transactions RBF, et a ajouté que si les utilisateurs ne sont pas sûrs de "vérifier l'état d'une transaction" à l'aide d'un explorateur de blocs. "Une telle vérification n'est pas possible avec votre banque aujourd'hui", a déclaré par e-mail le directeur technique de Ledger, Charles Guillemet.

Vision double

La mise à jour des portefeuilles pour afficher clairement ce qui se passe lors d'une transaction RBF est bonne et bonne pour toutes les personnes impliquées. Cependant, les chercheurs de ZenGo ont découvert qu'il y avait une attaque de second ordre, qui suit le même schéma décrit ci-dessus, qui pourrait désactiver définitivement un portefeuille avec ou sans la connaissance de la transaction par la victime.

Dans ce cas, l'agresseur gonfle à nouveau artificiellement le solde d'une victime en envoyant des transactions répétées à son portefeuille. Cela peut être fait sans le consentement de la victime. En annulant les transactions avant confirmation, le solde du portefeuille déclaré de la victime et les fonds réels sont à nouveau découplés, ce qui rend leur portefeuille inutilisable. Pire encore, l'attaque peut affecter plusieurs portefeuilles en même temps.

Voir également: Le bogue DeFi Dapp de longue durée n'est toujours pas corrigé par l'industrie (mis à jour)

C'est essentiellement un déni de service (DoS) attaque, empêchant les gens d'utiliser leur portefeuille.

"Cela désactive également d'autres types de tentatives d'envoi si l'algorithme de sélection de pièces du portefeuille choisit des fonds de cette transaction inexistante", a déclaré Ohayon. Ces portefeuilles sont «briques», pour utiliser le langage de Sutch. "C'est un énorme inconvénient."

Sutch a déclaré que BRD avait fait de cette vulnérabilité une priorité absolue pour l'entreprise après avoir été alertée. Étrangement, il a réussi à corriger le bogue tout en travaillant sur un problème sans rapport, a-t-il déclaré.

Le problème que ZenGo soulève avec ses recherches sur la sécurité n'est pas séquestré dans les portefeuilles que l'équipe a testés. le grande majorité des portefeuilles Bitcoin sont capables de recevoir des transactions RBF, et beaucoup d'entre eux sont "limités en ressources", a déclaré Sutch, et ne sont pas en mesure de fournir un correctif immédiatement.

Lors de l'activation de la fonctionnalité RBF sur Casa, Lopp a déclaré qu'il avait configuré le système pour ne pas afficher ces types de transactions jusqu'à confirmation, ce qui n'est pas standard dans l'industrie. "Les paramètres par défaut afficheraient ces transactions", a-t-il déclaré.

Divulgation

Le leader des nouvelles de la blockchain, CoinDesk est un média qui vise les normes journalistiques les plus élevées et respecte un ensemble strict de politiques éditoriales. CoinDesk est une filiale opérationnelle indépendante de Digital Currency Group, qui investit dans les crypto-monnaies et les startups blockchain.





Traduction de l’article de Daniel Kuhn : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top
Donec nec id tempus commodo porta. efficitur. commodo id Lorem ut suscipit