比特币主流钱包修复双花攻击漏洞_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

比特币主流钱包修复双花攻击漏洞

2020-07-02 06:01:08

加密货币钱包曝重大漏洞多款主流产品受影响

双花攻击威胁用户资产安全

无密钥加密货币钱包ZenGo的开发团队近日发布报告，披露了包括Ledger Live、Bread（BRD）和Edge在内的多款主流加密货币钱包存在名为"BigSpender"的双花攻击漏洞。在最坏情况下，这一漏洞可能导致用户资金无法使用。虽然目前该问题已得到部分修复，但部分钱包仍然存在一定风险。

漏洞工作原理分析

双花攻击是一种加密货币领域特有的潜在漏洞，允许恶意行为者多次花费同一笔资金。攻击者通过发送最低手续费交易，然后立即通过提高手续费（激励矿工优先验证更有利可图的新交易）并将资金重定向到不同地址来覆盖原交易。

据ZenGo报告显示，Ledger和Bread钱包在测试时未考虑到交易可能被取消的情况。这些钱包在未等待交易确认前就直观地将额外资金计入用户余额。"BigSpender漏洞的核心问题是，这些易受攻击的钱包没有为交易可能被取消做好准备，而是默认交易最终会被确认。"研究人员解释道。

各钱包修复情况

Ledger通过清除缓存并强制网络重新同步来解决该问题。对于Bread钱包，从这种情况中恢复可能"实际上非常困难"。ZenGo指出："用户可以选择将其种子从Bread迁移到另一个钱包。鉴于Bread的HD派生密钥对与种子是非标准的，这可能并不容易，需要用户具备一定专业知识并可能使用外部工具。"

Edge钱包的问题更为微妙，其余额仅在一系列待处理交易时增加一次，可以通过选项菜单中的"重新同步"按钮解决。

潜在风险与影响

在某些情况下，"BigSpender"漏洞可能导致用户无法完全提取余额，因为部分资金实际上并不存在，导致交易失败。在更严重的情况下，如对钱包进行故意的双花DDoS攻击，其所有者可能完全无法提取任何资金。

ZenGo警告称："在一些易受攻击的钱包中，这种攻击很难（甚至不可能）恢复。即使重新安装钱包也不会导致其与比特币网络重新同步并显示正确的余额。如果无法恢复，拒绝服务攻击将变成永久性的。"

厂商回应与修复进度

该公司表示，在公开报告前90天已通知受影响钱包的开发者，但只有部分厂商决定完全修复该漏洞。ZenGo称，Bread钱包已在iOS和Android的4.3版本中修复该问题。Ledger"承认了该漏洞，在2.6版本中修复了攻击的某些方面（仅限放大变体）"，但"其他变体尚未修复"。Edge也承认了该漏洞，并计划"在未来修复"。

Ledger首席技术官向媒体证实了ZenGo的警告，但认为"BigSpender"更像是"巧妙的欺骗手段"而非传统意义上的漏洞。他表示："重要的是要明白，与其说是漏洞，不如说这个缺陷更像是一种巧妙的欺骗手段。欺骗手段并不是漏洞。但我们的确希望防止任何人成为此类巧妙骗局的受害者。"并透露Ledger将发布Ledger Live软件更新，当有未确认的入账交易时会显示提醒横幅。他还强调Ledger的硬件钱包"不受用户界面中此缺陷的影响"。

媒体也就此事联系了Bread和Edge，但在发稿时尚未收到回复。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文