Un ricercatore di blockchain presso la startup di portafogli di criptovalute ZenGo con sede a Tel Aviv ha scoperto una vulnerabilità nei principali portafogli di valuta digitale, che potrebbe potenzialmente causare la Bitcoin doppia spesa . La maggior parte di questi fornitori di portafogli elettronici è stata informata e ha adottato misure per prevenire tali casi.
Gli aggressori sfruttano la funzione RBF per la doppia spesa Bitcoin
Il cosiddetto bug "BigSpender" funziona sfruttando la funzione RBF (replace-by-fee) di Bitcoin Bitcoin con i fondi delle vittime e, in ultima analisi, impedirgli di utilizzare nuovamente i wallet interessati. "Questo può essere considerato un attacco di elevata gravità", ha affermato Ouriel Ohayon, CEO di ZenGo.
In sostanza, la funzione RBF è stata adottata per consentire agli Bitcoin di aggirare il lento periodo di conferma, consentendo loro di pagare una commissione di transazione più elevata. Nonostante abbia raggiunto il suo scopo di ridurre i lunghi tempi di conferma, sussistevano ancora preoccupazioni sul fatto che potesse causare problemi, poiché Bitcoin non la supportano completamente.
Per essere precisi, l'attacco di doppia spesa Bitcoin sfrutta il modo in cui i portafogli di valuta digitale gestiscono le transazioni RBF con Bitcoin, secondo uno sviluppatore Bitcoin , Peter Todd. Gli aggressori inseriranno consapevolmente una transazione bitcoin a bassa commissione per evitare una conferma rapida e successivamente annulleranno la transazione in sospeso.
I portafogli crittografici aggiornano il loro sistema contro 'BigSpender'
Sui wallet di criptovalute vulnerabili, la transazione verrà accreditata alla vittima, mentre l'aggressore l'ha già annullata. Secondo quanto riferito, tre dei nove wallet principali sono stati trovati vulnerabili a questo attacco, che può causare doppie spese in Bitcoin . Tra i wallet ci sono Breadwallet (BRD), Edge e Ledger Live. Ohayon afferma:
Non abbiamo testato tutti i portafogli, ma se sono coinvolti tre dei più grandi, è possibile che ce ne siano altri.
Secondo il rapporto, BRD e Ledger hanno aggiornato i nuovi codici per evitare l'attacco di doppia spesa, mentre il portafoglio Edge è sottoposto a un "refactoring significativo" per prevenire anch'esso un attacco di questo tipo.
