Grandes carteiras de Bitcoin podem ser vulneráveis a ataques duplos
Pesquisadores da startup de criptomoedas ZenGo encontraram uma vulnerabilidade em algumas das carteiras de criptomoeda mais populares, incluindo Ledger, BRD e Edge.
Pesquisadores da startup de criptomoedas ZenGo, que está desenvolvendo uma carteira de criptomoeda móvel, encontraram uma vulnerabilidade em algumas das carteiras de criptomoeda mais populares, incluindo Ledger, BRD e Edge.
A vulnerabilidade, batizada de BigSpender, pode levar a erros nos saldos das carteiras, fazendo com que transações não confirmadas sejam levadas em consideração.
Um invasor em potencial poderia aproveitar o recurso Substituir por Taxa, para substituir uma transação original de Bitcoin por uma nova, com uma taxa mais alta, para efetivamente dobrar os fundos.
De acordo com o ZenGo, a vulnerabilidade não considerava uma transação cancelada e depositavam os fundos dos usuários em uma carteira antes de esperar pela confirmação na blockchain.
A vulnerabilidade BigSpender poderia ser aproveitada mais de uma vez, com um usuário com 0,1 BTC enviando dez transações para pagar 1 BTC e, em seguida, enviar os fundos para outra carteira usando uma taxa mais alta.
Como as carteiras têm o saldo incorreto, os fundos dos usuários também poderiam ser congelados usando ataques de negação de serviço. Os fundos, neste caso, permaneceriam seguros.
Vale ressaltar que esta não é uma vulnerabilidade do protocolo do Bitcoin.
Prêmio por bug encontrado e posição da Ledger sobre o caso
O ZenGo teria compartilhado suas descobertas com Ledger, BRD e Edge há 90 dias. Ledger e BRD pagaram os prêmios por busca de bugs e a BRD já lançou sua correção. Os pesquisadores também lançaram uma ferramenta de código aberto para testar o comportamento da sua carteira em relação ao BigSpender.
A Ledger publicou uma postagem em seu blog minimizando o impacto do BigSpender. A empresa diz não considerá-la uma vulnerabilidade, mas uma falha de design – já que seus fundos permanecem seguros.
“Tudo foi corrigido na atualização mais recente lançada há dois dias”, disse o vice-presidente de marketing Benoît Pellevoizin.
LEIA MAIS
- Bitcoin move em um dia o equivalente a 11% das transações anuais da Venmo, empresa do conglomerado Paypal
- Fundação aBey apresenta nova tecnologia de cartão de crédito próprio para criptomoeda
- Oracle e World Bee Project vão rastrear sustentabilidade do mel em blockchain
- Banco ING lança a ferramenta de privacidade em blockchain Bulletproofs