Uusi bug, jonka nimi on “Big Spender”, on saanut tiensä useisiin suosituihin bitcoin-lompakkoihin.

Big Spender on täällä ottaaksesi salauksen

Big Spender on kaksinkertainen kulutushack, joka antaa käyttäjille ajatuksen siitä, että he ovat saaneet rahaa, kun he tosiasiassa eivät ole. Sen sijaan henkilö, joka on lopulta ohittanut kaupan ja kyseessä olevat lompakot, on sieppannut salauksen, varastanut rahan ja korvannut sen. Viime kädessä tämä estää vastaanottajaa pääsemästä lompakkoonsa ja käyttämästä varojaan, kun taas hakkeri toimii ohjaamaan heidät hallussaan olevaan lompakkoon.

Ongelman havaitsi Tel Avivissa toimiva Zen Go, bitcoin- ja salausvaluuttayritys. Edustajat väittävät, että ongelma on ehkä integroitu miljooniin yksittäisiin Bitcoin Code – ja salaus lompakkoihin. Niistä lompakoista, joihin tiedetään vaikuttavan kirjoitushetkellä, ovat Ledger Live, Edge ja BRD (Leipä).

Zen Go on jo alkanut työskennellä näiden lompakkojen kanssa heikkouksien poistamiseksi. Yhtiö on myös ottanut yhteyttä lompakkojen alkuperäisiin kehittäjiin ilmoittaakseen heille tilanteesta.

Israelin yrityksen Oded Leiba vanhempi ohjelmistoinsinööri selitti lausunnossaan:

Big Spenderin haavoittuvuuden ydinkysymys on, että haavoittuvia lompakot eivät ole valmiita vaihtoehdolle, että kauppa voidaan peruuttaa, ja epäsuorasti oletetaan, että se vahvistetaan lopulta. Tällä huolimattomuudella on monia kasvoja. Ensinnäkin, käyttäjän saldo kasvaa saapuvan tapahtuman yhteydessä, kun sitä ei ole vahvistettu, eikä se pienene, jos tapahtuma käytetään kaksinkertaisesti ja siten peruutetaan tehokkaasti.

Mutta vaikka Zen Go liikkuu nopeasti varmistaakseen, että haavoittuvuudesta huolehditaan etukäteen, kaikki eivät reagoi myönteisesti. Sekä Ledger että BRD: n henkilökunta väittävät, että Zen Go käyttää epäselvää sanamuotoa kuvailemaan tilannetta ja sanovat, että missään kyseisissä tapahtumissa ei tapahdu kaksinkertaista menoa.

Ledger-suojaryhmän jäsenet selittävät:

Todellista kaksinkertaista rahaa ei suoriteta. Käyttäjärahastot pysyvät turvassa. Siitä huolimatta vastaanotettujen tapahtumien näyttö voi olla harhaanjohtava.

Niin monet suuret lompakot ovat vaikuttaneet

Jos kaksinkertaisen kulun uhka on todellinen, on yllättävää, kuinka moni valtavirran krypto lompakko on joutunut sen uhreiksi. Esimerkiksi BRD: llä on tällä hetkellä yli viisi miljoonaa käyttäjää. Zen Go: n toimitusjohtaja Ouriel Ohayon totesi:

Potentiaalisesti useita miljoonia käyttäjiä paljastettiin ennen korjausta Ledgerin ja BRD: n julkisten numeroiden käyttäjäpohjan perusteella … Se ei tarkoita, että muita ongelmia ei olisi tai että muita lompakoita ei altisteta Big Spender -hyökkäykseen … Koska tämä voi johtaa varojen käytön mahdottomuudessa ja koska tämä voitaisiin tehdä mittakaavassa, tätä [hyväksikäyttöä] voidaan pitää vakavana. Hakkerit ovat vakioita. Suojaus on alan jatkuva taistelu, jota ei voi voittaa yksi pelaaja tai yksittäinen tuote, puhumattakaan version päivityksestä.