Rejoignez-Nous sur

Les portefeuilles Bitcoin permettaient aux gens de se faire arnaquer avec des soldes défectueux

1593040086 490 060420 Cred Banner MREC B

News

Les portefeuilles Bitcoin permettaient aux gens de se faire arnaquer avec des soldes défectueux

Points clés à retenir

  • La startup du portefeuille, ZenGo, a découvert un bogue dans trois portefeuilles Bitcoin populaires qui tire parti de la fonction de remplacement par frais de Bitcoin (RBF)
  • Le bogue ajoute des transactions non confirmées aux soldes des utilisateurs et ne les annule pas même lorsqu'elles sont annulées
  • Cela permet aux pirates de dépenser deux fois plus de Bitcoin et de lancer des attaques DoS sur les personnes

Partagez cet article

Un bogue dans trois principaux portefeuilles de crypto-monnaie permet aux escrocs de tromper les gens avec Bitcoin à double dépens, permettant aux transactions non confirmées de compter dans le solde total du portefeuille d'un utilisateur.

Soldes de portefeuille Bitcoin peu fiables

Le fossé technique permet aux attaquants de faire croire aux utilisateurs de portefeuilles Bitcoin vulnérables qu'ils ont reçu Bitcoin, même si la transaction n'a pas été confirmée.

Avant qu'une transaction Bitcoin puisse être considérée comme définitive, il est nécessaire d'attendre jusqu'à plusieurs heures avant que la transaction soit considérée comme irréversible. Plus la transaction est confirmée, plus il devient difficile d'annuler cette transaction avec des frais plus élevés.

La plupart des vétérans du Bitcoin vérifient le nombre de confirmations sur une transaction avant de la considérer comme définitive, mais les nouveaux utilisateurs peuvent facilement être dupés en voyant un solde de portefeuille gonflé artificiellement.

Plusieurs portefeuilles Bitcoin populaires, notamment Ledger Live, le portefeuille BRD et Edge, étaient sensibles à cette vulnérabilité.

La fonctionnalité RBF (Replace-by-fee) sur le réseau Bitcoin permet aux expéditeurs de voir leurs transactions non confirmées remplacées par une autre transaction, qui remplacerait une transaction précédente par une transaction avec des frais plus élevés. Les mineurs de Bitcoin choisiraient ensuite la transaction avec les frais plus élevés, remplaçant essentiellement la transaction précédente.

OKCoin - Profitez de faibles échanges

Certains portefeuilles ont eu du mal à implémenter correctement RBF, ce qui a finalement entraîné l'apparition de BigSpender, une famille de vulnérabilités qui incluent des attaques à double dépense et à dépenses multiples. D'où le nom «BigSpender», qui permet aux attaquants de dépenser plus que ce qu'ils ont, souvent pour arnaquer les gens.

Bitcoin Core version 0.12 a implémenté RBF, qui a explicitement mis la responsabilité de la vérification sur les utilisateurs pour confirmer les transactions elles-mêmes en fonction du nombre de confirmations.

Cette vulnérabilité permet aux portefeuilles de mettre à jour leurs soldes avec des transactions non confirmées. Résultat: les soldes des principaux portefeuilles n'étaient plus une source de vérité pour les destinataires et représentaient plutôt des transactions potentielles en attente de traitement.

Les transactions Bitcoin sont représentées par une série de changements «d'état». La transaction Bitcoin, comme toute autre transaction, est un voyage de l'état initial à un état final avec des étapes intermédiaires.

Lorsqu'un utilisateur initie une transaction, c'est l'étape initiale. Lorsque la transaction passe du temps dans le mempool en attente de confirmation, elle se trouve dans un état intermédiaire. Finalement, lorsque la transaction est confirmée, elle entre dans son état final.

Lorsque quelqu'un initie une nouvelle transaction avec des frais plus élevés, l'état d'une transaction passe de l'état intermédiaire à l'état initial pour la première transaction. Ces portefeuilles considéraient à tort l'état intermédiaire comme l'état final lors du calcul des soldes de portefeuille.

Cred - composé sans complexité

Une mauvaise configuration de RBF dans les portefeuilles permet aux acteurs malveillants d'exécuter plusieurs exploits BigSpender: attaques à double dépense, attaques d'amplification et attaques par déni de service (DoS).

Une attaque d'amplification est lorsqu'un escroc envoie à plusieurs reprises la même petite quantité de Bitcoin encore et encore pour tromper quelqu'un en lui faisant croire qu'il a effectivement reçu une grande quantité de Bitcoin. Par exemple, 100 transactions échouées de 5 $ augmenteraient le solde du portefeuille de 500 $. Ces types d'astuces facilitent la duplication de nouveaux Bitcoiners.

Les sociétés de portefeuille ont été averties de résoudre le problème

Ces vulnérabilités ont d'abord été révélées à ces trois sociétés de portefeuille par ZenGo, un portefeuille israélien de crypto-monnaie. "Dans certains des portefeuilles vulnérables, cette attaque est difficile (voire impossible) à récupérer", a déclaré ZenGo.

ZenGo a publié le rapport après avoir donné aux portefeuilles 90 jours pour remédier au problème. La société a reçu des primes de bogues de Ledger Live et du portefeuille BRD, tandis qu'Edge a reconnu la vulnérabilité et a déclaré qu'elle prévoyait de la corriger à l'avenir.

Résumé des portefeuilles vulnérables par ZenGo "width =" 709 "height =" 440 "srcset =" https://blockblog.fr/wp-content/uploads/2020/07/Status-709x440.png 709w, https: // cryptobriefing .com / wp-content / uploads / 2020/07 / Status.png 767w "tailles =" (largeur max: 709px) 100vw, 709px
Résultats sur les portefeuilles vulnérables par ZenGo

BRD et Ledger ont corrigé leur code, mais le portefeuille Edge n'a pas encore été corrigé. À l'avenir, les portefeuilles de crypto-monnaie doivent rester diligents quant aux nuances de la blockchain Bitcoin pour empêcher les gens d'en profiter.

Partagez cet article



Traduction de l’article de Priyeshu Garg :
Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top
dolor Phasellus at Donec Aliquam ut id, suscipit adipiscing