主流加密貨幣錢包遭爆漏洞 未確認交易也計入用戶餘額

▲▼比特幣。(圖/路透)

▲Ledger、BRD、Edge等主流加密貨幣錢包中被發現漏洞。(圖/路透)

記者王曉敏/綜合報導

加密貨幣錢包商ZenGo昨(2)日發布報告指出,於Ledger、BRD、Edge等主流加密貨幣錢包中發現一個漏洞,可令未確實收到付款的交易計入用戶的總餘額中,攻擊者可趁機撤銷該筆交易。

ZenGo將此攻擊稱作「BigSpender」。攻擊者將利用比特幣協議中的一項名為「Replace-by-Fee」(RBF)的功能,旨在讓用戶以支付更高的手續費替換前一筆交易,使原始交易被取消。部分加密貨幣錢包會快速地將未經確認的交易計入餘額中,當用戶檢查餘額時,會以為自己已經收到比特幣,但事實上對方可能已經替代了該筆交易,而用戶這端的餘額顯示卻不會反映對方的這項操作。

請繼續往下閱讀...

攻擊者可購買某件昂貴的物品,即便他並沒有足夠的比特幣仍可向買家發起BigSpender攻擊。舉例來說,攻擊者可發起10筆交易,每筆交易價值0.1 BTC,接收方會看到餘額增加1 BTC,但實際上,沒接收到任何比特幣。

由於錢包金額計算不正確,攻擊者甚至還可利用BigSpender的漏洞發起拒絕服務攻擊(denial-of-service)來凍結用戶的加密資產。不過值得一提的是,BigSpender並非比特幣協議中的漏洞,畢竟用戶的比特幣不會因此遭竊,但仍可能被利用來詐騙用戶。

對此, Ledger於官方公告指出,「BigSpender」並不是一個漏洞,不會讓攻擊者以任何方式存取用戶的加密貨幣,只是有惡意行爲者會利用該費用替代功能進行詐騙。為避免相關的詐欺事件發生,Ledger已改進了Ledger Live的用戶體驗(UX)。此外,Ledger也表示,截至目前從未出現過用戶被欺騙的事件。

不能只有我知道!過期票券爽換1.5倍東森幣

點這裡,留個言吧! FB Weibo

※本文版權所有,非經授權,不得轉載。[ ETtoday著作權聲明 ]

國中小將接力賽「反超5人」奪冠 最後一棒超級逆轉!網:開外掛

相關新聞

讀者迴響

熱門新聞

最夯影音

更多

熱門快報

回到最上面