財經狐：研究人員發現比特幣錢包中的缺陷可能會被雙重利用_EDGE

新的研究發現，可能會誤用一種標準的比特幣交易方式來實現雙倍支出。

錢包初創公司ZenGo的區塊鏈偵探發現了一個漏洞，該漏洞至少影響了三個主要的競爭加密錢包-LedgerLive，Edge和Breadwallet-甚至可能更多。

該漏洞被總部位于特拉維夫的公司稱為BigSpender，它使黑客能夠將用戶的資金花費雙倍，并可能阻止用戶再次使用其錢包。它通過利用某些錢包的處理方式來處理比特幣的按需收費功能，該功能具有故障保護功能，使用戶能夠將未經確認的交易與費用較高的交易進行交換。

ZenGo首席執行官OurielOhayon在一封電子郵件中說：“可能會導致重大的財務損失，并在某些情況下使受害者的錢包完全無法使用，而受害者無法保護自己。”“因此，這可以看作是嚴重程度很高的攻擊。”

金色財經挖礦數據播報：ETH今日全網算力上漲1.68%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力162.927EH/s，挖礦難度21.87T，目前區塊高度676022，理論收益0.00000621/T/天。

ETH全網算力459.373TH/s，挖礦難度5898.78T，目前區塊高度12098897，理論收益0.00574965/100MH/天。

BSV全網算力0.576EH/s，挖礦難度0.08T，目前區塊高度679770，理論收益0.00156152/T/天。

BCH全網算力1.418EH/s，挖礦難度0.19，目前區塊高度680082，理論收益0.00063461/T/天。[2021/3/24 19:12:41]

像其他具有相關漏洞的可選比特幣功能一樣，RBF功能已成為用戶來回傳遞價值的標準方式。它被開發者社區推銷并接受，作為比特幣人通過支付更多費用來規避緩慢確認時間的一種方式。

金色財經行情播報 | BTC均線MA5壓力位依然有效，短期趨勢空頭占優:據火幣行情顯示，今日下午3時許，BTC價格加速下跌；下午5時許，在1小日級別MA30均線作為支撐反彈上漲，局部行情節奏擴大振幅。從日線級別來看，BTC價格依然承壓均線MA5，4小時圖已構成下降通道，短期趨勢空頭占優。截至18:30，火幣平臺的主流幣的具體表現如下。[2020/4/14]

匿名的比特幣研究人員0xB10C表示，從一開始，人們就擔心盡管RBF功能已集成在比特幣系統的協議層中，但并未得到比特幣錢包的充分支持。“ZenGo表明，用戶可能被欺騙，以為他沒有收到比特幣。我相信這是新穎的。我至少以前沒有聽說過，”他說。

該公司測試了九種不同的錢包，包括LedgerLive，Trust錢包，Exodus，Edge，Bread，Coinbase，BlockstreamGreen，Blockchain和AtomicWallet。在測試的對象中，發現有三個很容易受到理論攻擊。

金色財經數據播報 比特幣全網未確認交易筆數降為1108筆:根據BTC.com數據顯示，目前比特幣挖礦全網算力32.96EH/s,目前比特幣全網未確認交易筆數為1108筆。[2018/5/27]

Ohayon說：“我們還沒有測試所有的錢包，但是如果涉及到其中三個最大的錢包，那么可能還會更多。”ZenGo將發現的結果通知了公司，并給了他們90天的時間修復漏洞。

EdgeCEOPaulPuey在一封電子郵件中說，Ledger和BRD已經發布了代碼更改以防止攻擊發生，并向ZenGo支付了未公開的bug賞金，而Edge正在進行“重大重構”以解決該問題，Edge首席執行官PaulPuey在一封電子郵件中表示。

前比特幣開發商，RBF的建筑師彼得·托德說，這種黑客利用了某些錢包如何處理未經確認的交易的已知漏洞，包括但不限于RBF。

金色財經獨家分析 洛克菲勒家族入局，老牌資本布局區塊鏈:根據UseTheBitcoin消息稱，全球最重要、最受認可的風險投資公司之一洛克菲勒的風險投資公司Venrock已與CoinFund合作。CoinFund是一家加密貨幣投資集團，主要是幫助企業構建區塊鏈技術項目。金色財經獨家分析，洛克菲勒家族迄今已繁盛了六代，是“世界財富標記”，與美國乃至國際政經都有著千絲萬縷的聯系。標準石油公司、大通銀行、洛克菲勒基金會、洛克菲勒中心、芝加哥大學、洛克菲勒大學、現代藝術博物館等都印刻著洛克菲勒家族的痕跡。旗下Venrock Associates成立之初為洛克菲勒家族的創業投資分支機構，現已經擁有60年向企業家提供資本支持并創辦經久不衰的成功企業的投資歷史，曾參投過蘋果Apple。此次Venrock已與CoinFund合作，疑似洛克菲勒家族正式入局區塊鏈行業。洛克菲勒家族入局區塊鏈行業可以映襯出區塊鏈行業對全球資本的吸引力進一步加強，同時反應了資本對于區塊鏈未來看好。[2018/4/8]

工作原理：攻擊者將資金發送給預定的受害者，并將費用定得足夠低，幾乎可以保證交易不會收到確認。對于易受攻擊的錢包，此未完成的交易將反映為收件人的帳戶余額的增加，可能導致某些受害者錯誤地認為已確認了該未完成的交易。然后，攻擊者通過使用RBF將接收者更改為他們控制的地址，以ZenGo的術語“取消”待處理的交易。當受害者意識到交易實際上已被取消時，他將交付貨物。

金色財經訊:美國芝加哥商業交易所 (CME) 集團今天 (10月31日) 宣布，將從2017年第四季度開始推出比特幣期貨，只待所有相關監管審查宣告結束。[2017/11/1]

需要明確的是：在RBF之前可能會發生類似的攻擊，但是在錢包提供商沒有采取適當預防措施的情況下，付款方式突顯了這種風險。

惡意行為者可以利用受害人陳述的余額與實際余額之間的這種差異，誘使人們在不支付費用的情況下提供商品或服務，但所花的費用很少。從這個意義上講，缺陷在于錢包的UX和UI設計。

雙重麻煩？

ZenGo的研究人員說，如果黑客可以誘騙一個人相信他們已經收到付款，同時又保持對比特幣的控制權，那么這就是雙花。其他人對此術語的使用提出異議。

“您必須確定雙重支出的定義是什么。多數不是巨魔的人會說，雙倍支出是指您有一筆已確認的交易因某種原因而無效并花費在另一筆已確認的交易上，”保管公司Casa的首席技術官JamesonLopp說道。

本質上，這種攻擊利用了錢包顯示未確認交易的方式。從這個意義上講，這種攻擊并沒有破壞比特幣代碼的運行方式。

洛普說：“區塊鏈的全部目的是防止雙重支出問題。”“它可以追溯到原始的Satoshi白皮書，該白皮書說，雙花的解決方案是擁有許多人正在檢查的分布式分類帳。”

您唯一可以依靠的是已開采的交易

0xB10C說，與比特幣進行交易的一般經驗法則是，永遠不要信任少于六個確認的交易。包括Todd，Lopp和BRDCTOSamuelSutch在內的許多開發人員都重申了這一點。如果此漏洞利用得以實現，那么受害者至少應承擔部分責任。

“您唯一可以依靠的是已經開采的交易，”托德說。

從這個意義上講，Sutch將BigSpender稱為“次要錯誤”和“人為的”，但也值得修復并為此付出賞金。Sutch說，BRD最近通過了500萬用戶。

洛普說：“更多的錢包開發人員需要知道他們的用戶并不了解其內在區別。”從安全的角度來看，許多人甚至都不知道已確認和未確認之間的區別。因此，開發人員有責任建立更好的用戶體驗，這樣他們就不會被諸如此類的事情所迷惑和欺騙。”

為此，Ledger更新了錢包顯示待處理交易的方式。如果用戶不確定使用塊瀏覽器“檢查交易狀態”。Ledger的首席技術官CharlesGuillemet在電子郵件中說：“今天的銀行無法進行這種驗證。”

雙重視野

更新錢包以清楚地顯示RBF交易期間發生的事情對于每個參與人員都是一件好事。但是，ZenGo的研究人員發現，存在第二種攻擊，該攻擊遵循上述相同的方案，并且無論受害者是否知道交易，都可能永久禁用錢包。

在這種情況下，攻擊者再次通過向受害者的錢包發送重復交易來人為地虛增受害者的余額。這可以在未經受害者同意的情況下完成。通過在確認交易之前重新路由交易，受害者的錢包余額和實際資金再次分離，從而使他們的錢包無法使用。更糟糕的是，攻擊可能同時影響多個錢包。

從本質上講，這是拒絕服務攻擊，阻止人們使用錢包。

Ohayon說：“如果錢包的硬幣選擇算法從這筆不存在的交易中選擇資金，這也會使其他種類的發送嘗試失效。”用Sutch的話來說，這些錢包是“磚狀的”。“這帶來了極大的不便。”

Sutch說，BRD在收到警報后將漏洞作為公司的首要任務。他說，奇怪的是，它在解決一個不相關的問題時設法修復了該錯誤。

ZenGo的安全性研究提出的問題并未被團隊測試的錢包所隔離。在絕大多數的Bitcoin錢包都能夠接收RBF交易，其中許多人背后的公司是“資源約束”，Sutch說，并不能立即提供修補程序。

Lopp說，在Casa上啟用RBF功能時，他將系統配置為在確認之前不顯示這些類型的交易，這在行業中是非標準的。他說：“默認參數將顯示這些交易。”

Tags：比特幣DGEEDGEEDG比特幣市值走勢圖SMUDGEETHHEDGE幣ledger錢包原理

以太坊