Некоторые кошельки первой криптовалюты позволяют мошенникам воровать деньги. Стартап ZenGo указал на уязвимости трех Bitcoin-кошельков, хотя на деле их может оказаться гораздо больше.
Найденный баг получил название BigSpender (транжира). Он дает возможность имитировать операцию, т.е. совершать платеж и отменять его спустя короткое время. Опытные пользователи всегда ждут подтверждения транзакции, но новых юзеров довольно легко сбить с толку. Команда ZenGo отмечает: кошельки Edge, LedgerLive и Breadwallet обрабатывают функцию биткоина replace-by-fee некорректно, открывая тем самым возможность хищения средств.
Названо несколько видов атак. Простейший предусматривает отправку жертве полагающегося объема ВТС за товар или услугу. Затем операция отменяется, но кошельки не сразу отображают это, показывая некорректный объем средств. Другой вариант предполагает серию транзакций с возвратом, после которой поступает требование вернуть «излишек». Причем при длительном совершении подобных операций кошельки рискуют выйти из строя.
Разработчики LedgerLive и Breadwallet уже устранили проблему. В Edge согласились с ее наличием, но пока не выпустили обновление. Пользователям эксперты рекомендуют всеми доступными способами проверять реальность перевода средств, а также отслеживать иные уязвимости криптокошельков.
Источник: