Hogyan védhetőek ki a double-spending támadások?
A ZenGo kulcsnélküli kriptotárca fejlesztői közzétettek egy riportot, melyben azt magyarázták el hogy általánosságban a tárcák hogyan válnak a double-spending támadások áldozataivá. A „BigSpender” elnevezést kapta ez a fajta sérülékenység a digitális világban. Olyan nagy biztonságot nyújtó tárcákban is felfedezték ezt a hibát, mint a Ledger Live, a Bread (BRD) és az Edge. A legrosszabb esetben a csalás használhatatlanná teheti a felhasználók számláit
Noha a problémát már részben megoldották, a fent említett tárcák némelyike továbbra is sebezhető maradt.
A double-spending a kriptovaluták egyfajta potenciális kihasználása, amely lehetővé teszi a rosszindulatú szereplők számára, hogy ugyanazt a coint kétszer vagy többször is elköltsék. Ehhez a csalók elindíthatnak egy tranzakciót minimális díjjal, majd azonnal felülírják azt a díj megnövelésével (így a bányászokat arra ösztönzik majd, hogy először a jövedelmezőbb új tranzakciót hagyják jóvá), és egy más címre irányítják át a pénzeszközöket.
A ZenGo jelentése szerint a Ledger és a Bread tárcák nem törölték az először indított tranzakciókat, vagyis ez volt a csapat tapasztalata a tesztelés során. Ráadásul vizuálisan további pénzeszközöket helyeztek el a felhasználók egyenlegein anélkül, hogy megvárták volna a tranzakció visszaigazolását.
„A BigSpender sebezhetőségének fő problémája az, hogy a sebezhető tárcák nem készülnek fel arra a lehetőségre, hogy egy tranzakciót törölhetnek, és hallgatólagosan feltételezik, hogy a tranzakció minden esetben vissza lesz igazolva” – magyarázták a kutatók.
Vajon mi a megoldás kulcsa?
A Ledger esetében a problémát a cache kiürítésével és a hálózat újraszinkronizálásával oldották meg. A Bread számára a probléma orvoslása „valójában nagyon nehéz” lehet.
„A Bread esetében nem marad más választása a felhasználónak, csak az, hogy egy másik tárcába hmigrálja át a seed-eket. Tekintettel arra, hogy a Bread seed-ből származó kulcspárjainak nem szabványos HD derivációja van, ez valószínűleg nem könnyű, és bizonyos tapasztalatot igényel a felhasználótól és esetleg a külső eszközök igénybevételére is szükség lehet.”– magyarázta ZenGo.
A jelentés szerint az Edge tárca problémája kisebb volt, mivel egyenlege csak egyszer növekedett a függőben lévő tranzakciók sorozatánál. A hiba úgy oldódott meg, hogy az Opciók menüben található „Újraszinkronizálás”-ra kellett kattintani.
Egyes esetekben a „BigSpender” elnevezésű sebezhetőség lehetetlenné teheti a felhasználók számára az egyenlegük teljes kivételét, mivel annak egy része nem létezik, és sikertelen tranzakciókat eredményezhet. Súlyosabb esetekben – mint például a szándékos double-spending és DDoS együttes tárca elleni támadások esetében – a tulajdonos egyáltalán nem tud pénzt kivenni a tárcából.
„Néhány sebezhető tárcának egy ilyen támadásból nehéz (vagy akár lehetetlen) helyreállni. Még a tárca újratelepítése sem eredményezi a Bitcoin hálózattal való újbóli szinkronizálást, és nem mutatja a megfelelő egyenleget. Ha nem sikerül helyreállni, akkor a denial-of-service (DDos) támadás állandóvá válik ”– figyelmeztetett a ZenGo.
Kizsákmányolás vagy egyszerű csalás?
A cég azt nyilatkozta, hogy 90 nappal a jelentés nyilvánosságra hozatala előtt értesítette a sebezhető tárcák fejlesztőit. Közülük azonban csak néhánynak sikerült eddig teljes mértékben helyrehozni a sebezhetőséget.
A ZenGo szerint a Bread tárca javította a hibát az iOS és az Android 4.3 verziójában. A Ledger pedig „elismerte a hibát, kijavította a támadás egyes aspektusait (csak a továbbfejlesztett változatot) a 2.6. verzióban”, de „a többi változat még nincs javítva”. Az Edge elismerte a sebezhetőségét, és tervezi annak jövőbeni kijavítását, – foglalta össze a ZenGo.
A Ledger technológiai vezetője, Charles Guillemet megerősítette, hogy a ZenGo figyelmeztette a társaságot a kizsákmányolásról. Azzal érvelt, hogy a „BigSpender” inkább egy „okos trükk”, mintsem egy hagyományos értelemben vett sebezhetőség.
„Fontos megérteni, hogy a sebezhetőség helyett a rést inkább egy okos trükknek tekinthetjük. A csalás nem sebezhetőség. De szeretnénk megakadályozni, hogy bárki is ilyen okos csalások áldozatává váljon.”– nyilatkozta Guillemet, hozzátéve, hogy a Ledger „frissítést fog kiadni a Ledger Live szoftverhez, ahol egy banner fog megjelenni, amikor egy bejövő tranzakciót meg kell erősíteni.”
Azt is elmondta, hogy a Ledger hardver tárcáit „a felhasználói felület hibája nem érinti”.