Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Найден способ воровать биткоины из популярных криптокошельков
06.07.2020, Пн, 10:33, Мск , Текст: Роман Георгиев
Уязвимость в некоторых кошельках Bitcoin позволяет многократно переводить деньги и сразу же незаметно для жертвы отменять транзакцию. Точно уязвимы криптокошельки трех разработчиков, но, возможно, их куда больше.
Вперед-назад
Часть популярных криптокошельков для Bitcoin содержат опасную уязвимость, позволяющую проводить мошеннические операции или делать кошельки непригодными к использованию.
Уязвимость обнаружили разработчики стартапа ZenGo, который как раз занимается разработками для криптокошельков. Баг, получивший название BigSpender (транжира) позволяет имитировать транзакцию, а точнее проводить и отменять ее так, что потенциальный получатель не сознает, что его обманули.
Транзакции Bitcoin сами по себе легко обратимы в течение несколько часов после совершения платежа. Опытные пользователи криптовалют ждут подтверждения транзакции, прежде чем считать платеж совершенным. Однако новых юзеров можно сбить с толку — им достаточно увидеть увеличение количества средств на балансе криптокошелька.
Размер комиссии
Уязвимость связана с тем, как некоторые кошельки обрабатывают функцию биткоина replace-by-fee. Это стандартный метод отзыва транзакции путем отправки другой транзакции с тем же объемом средств, но большим обозначенным размером комиссии. Криптокошельки LedgerLive, Edge и Breadwallet некорректно обрабатывают такие запросы, что открывает возможность для вышеописанной атаки. Не исключено, что та же уязвимость присутствует и в других криптокошельках.
Некоторые кошельки Bitcoin позволяют мошенничать с транзакциями
Описано несколько видов атак. Самая простая заключается в том, что жертве отправляется некоторый объём биткоинов в обмен на услугу или товар, после чего транзакция сразу же откатывается. Кошельки не отображают отмену сразу и показывают некорректный объем средств, так что жертва считает, что ей заплатили.
Существует также вариант атаки, при котором на кошелек жертвы направляется и сразу отменяется целая серия транзакций, так что жертва считает, что ей перевели большое количество криптовалюты. Здесь возможен и вариант с последующим требованием вернуть излишек, которого на деле нет.
Наконец, у злоумышленников есть возможность посылать и сразу отменять транзакции сериями в течение длительного времени, что в итоге может привести к выходу криптокошелька из строя.
Разработчики BreadWallet и Ledger уже исправили проблему. В Edge признали ее существование, но обновление еще не выпустили.
Конечным пользователям рекомендовано проверять, реально ли совершилась транзакция, всеми доступными способами. И отслеживать, какие уязвимости могут содержать их кошельки.
«Едва ли эта уязвимость очень широко распространена, хотя, конечно, разработчикам кошельков стоит проверить свои продукты на её предмет, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Как только появляется публичная информация об уязвимости, её сразу же пытаются начинать эксплуатировать всеми доступными способами. И если другие криптокошельки уязвимы перед такими атаками, их пользователи очень скоро об этом узнают».
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
06.07.2020, Пн, 10:33, Мск , Текст: Роман Георгиев
Уязвимость в некоторых кошельках Bitcoin позволяет многократно переводить деньги и сразу же незаметно для жертвы отменять транзакцию. Точно уязвимы криптокошельки трех разработчиков, но, возможно, их куда больше.
Вперед-назад
Часть популярных криптокошельков для Bitcoin содержат опасную уязвимость, позволяющую проводить мошеннические операции или делать кошельки непригодными к использованию.
Уязвимость обнаружили разработчики стартапа ZenGo, который как раз занимается разработками для криптокошельков. Баг, получивший название BigSpender (транжира) позволяет имитировать транзакцию, а точнее проводить и отменять ее так, что потенциальный получатель не сознает, что его обманули.
Транзакции Bitcoin сами по себе легко обратимы в течение несколько часов после совершения платежа. Опытные пользователи криптовалют ждут подтверждения транзакции, прежде чем считать платеж совершенным. Однако новых юзеров можно сбить с толку — им достаточно увидеть увеличение количества средств на балансе криптокошелька.
Размер комиссии
Уязвимость связана с тем, как некоторые кошельки обрабатывают функцию биткоина replace-by-fee. Это стандартный метод отзыва транзакции путем отправки другой транзакции с тем же объемом средств, но большим обозначенным размером комиссии. Криптокошельки LedgerLive, Edge и Breadwallet некорректно обрабатывают такие запросы, что открывает возможность для вышеописанной атаки. Не исключено, что та же уязвимость присутствует и в других криптокошельках.
Некоторые кошельки Bitcoin позволяют мошенничать с транзакциями
Описано несколько видов атак. Самая простая заключается в том, что жертве отправляется некоторый объём биткоинов в обмен на услугу или товар, после чего транзакция сразу же откатывается. Кошельки не отображают отмену сразу и показывают некорректный объем средств, так что жертва считает, что ей заплатили.
Существует также вариант атаки, при котором на кошелек жертвы направляется и сразу отменяется целая серия транзакций, так что жертва считает, что ей перевели большое количество криптовалюты. Здесь возможен и вариант с последующим требованием вернуть излишек, которого на деле нет.
Наконец, у злоумышленников есть возможность посылать и сразу отменять транзакции сериями в течение длительного времени, что в итоге может привести к выходу криптокошелька из строя.
Разработчики BreadWallet и Ledger уже исправили проблему. В Edge признали ее существование, но обновление еще не выпустили.
Конечным пользователям рекомендовано проверять, реально ли совершилась транзакция, всеми доступными способами. И отслеживать, какие уязвимости могут содержать их кошельки.
«Едва ли эта уязвимость очень широко распространена, хотя, конечно, разработчикам кошельков стоит проверить свои продукты на её предмет, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Как только появляется публичная информация об уязвимости, её сразу же пытаются начинать эксплуатировать всеми доступными способами. И если другие криптокошельки уязвимы перед такими атаками, их пользователи очень скоро об этом узнают».
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links