買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 火幣APP > Info

比特幣:財經狐:研究人員發現比特幣錢包中的缺陷可能會被雙重利用_區塊鏈

Author:

Time:1900/1/1 0:00:00

新的研究發現,可能會誤用一種標準的比特幣交易方式來實現雙倍支出。

錢包初創公司ZenGo的區塊鏈偵探發現了一個漏洞,該漏洞至少影響了三個主要的競爭加密錢包-LedgerLive,Edge和Breadwallet-甚至可能更多。

該漏洞被總部位于特拉維夫的公司稱為BigSpender,它使黑客能夠將用戶的資金花費雙倍,并可能阻止用戶再次使用其錢包。它通過利用某些錢包的處理方式來處理比特幣的按需收費功能,該功能具有故障保護功能,使用戶能夠將未經確認的交易與費用較高的交易進行交換。

ZenGo首席執行官OurielOhayon在一封電子郵件中說:“可能會導致重大的財務損失,并在某些情況下使受害者的錢包完全無法使用,而受害者無法保護自己。”“因此,這可以看作是嚴重程度很高的攻擊。”

微博財經對若干區塊鏈及幣圈微博賬號禁言及注銷:1月15日,微博財經官方發文稱表示,為了落實企業主體責任,嚴格貫徹執行金融、證券相關法律法規及《微博社區公約》管理規定,站方主動排查及接用戶投訴,對通過微博博文、私信等渠道導流至站外平臺的違規營銷信息進行集中處理。這類信息后端往往誘導交費,購買非法理財產品,涉嫌詐騙。根據相關規定,微博將對若干賬號采取刪除內容、禁言1周或注銷處理。內容顯示,這批賬號包含一些區塊鏈及幣圈微博賬號。[2021/1/15 16:16:35]

像其他具有相關漏洞的可選比特幣功能一樣,RBF功能已成為用戶來回傳遞價值的標準方式。它被開發者社區推銷并接受,作為比特幣人通過支付更多費用來規避緩慢確認時間的一種方式。

匿名的比特幣研究人員0xB10C表示,從一開始,人們就擔心盡管RBF功能已集成在比特幣系統的協議層中,但并未得到比特幣錢包的充分支持。“ZenGo表明,用戶可能被欺騙,以為他沒有收到比特幣。我相信這是新穎的。我至少以前沒有聽說過,”他說。

金色財經挖礦數據播報 | BCH今日全網算力下降3.00%:金色財經報道,據蜘蛛礦池數據顯示:

ETH全網算力180.434TH/s,挖礦難度2228.48T,目前區塊高度9932288,理論收益0.00781843/100MH/天。

BTC全網算力110.898EH/s,挖礦難度15.96T,目前區塊高度627373,理論收益0.00001575/T/天。

BSV全網算力1.448EH/s,挖礦難度0.21T,目前區塊高度631931,理論收益0.00062144/T/天。

BCH全網算力1.744EH/s,挖礦難度0.24T,目前區塊高度632145,理論收益0.00051619/T/天。[2020/4/24]

該公司測試了九種不同的錢包,包括LedgerLive,Trust錢包,Exodus,Edge,Bread,Coinbase,BlockstreamGreen,Blockchain和AtomicWallet。在測試的對象中,發現有三個很容易受到理論攻擊。

動態 | 金色財經“與時共創”頒獎盛典將于12月27日在北京隆重開啟:值此區塊鏈行業發展正盛之勢,金色財經與時代探索區塊鏈,探討區塊鏈賦能實體經濟,表彰其與時代共同進步的努力,贊揚其創新引領行業未來的貢獻。歷時一個月,線上投票參與人數累計達1000萬+,云集了數百位區塊鏈首席品牌官、百家區塊鏈企業、數十個頒獎嘉賓、40余位專家評審團共同評選出年度獎項。與時共創,共創美好未來,記錄時代,銘記感動,誰執牛耳,敬請期待!詳情見原文鏈接。[2019/12/24]

Ohayon說:“我們還沒有測試所有的錢包,但是如果涉及到其中三個最大的錢包,那么可能還會更多。”ZenGo將發現的結果通知了公司,并給了他們90天的時間修復漏洞。

EdgeCEOPaulPuey在一封電子郵件中說,Ledger和BRD已經發布了代碼更改以防止攻擊發生,并向ZenGo支付了未公開的bug賞金,而Edge正在進行“重大重構”以解決該問題,Edge首席執行官PaulPuey在一封電子郵件中表示。

金色財經現場報道 德豐杰創新龍脈基金合伙人:資本更加青睞區塊鏈行業應用類:金色財經現場報道,在新金融100人主題論壇上,德豐杰創新龍脈基金合伙人王岳華表示,目前在區塊鏈行業中,資本更加青睞行業應用,占總數一半以上;其中比特幣生態圈最熱門領域包括交易所、錢包、支付處理、金融服務、礦業和“綜合”,綜合公司是指包含各種服務的公司。[2018/4/27]

前比特幣開發商,RBF的建筑師彼得·托德說,這種黑客利用了某些錢包如何處理未經確認的交易的已知漏洞,包括但不限于RBF。

工作原理:攻擊者將資金發送給預定的受害者,并將費用定得足夠低,幾乎可以保證交易不會收到確認。對于易受攻擊的錢包,此未完成的交易將反映為收件人的帳戶余額的增加,可能導致某些受害者錯誤地認為已確認了該未完成的交易。然后,攻擊者通過使用RBF將接收者更改為他們控制的地址,以ZenGo的術語“取消”待處理的交易。當受害者意識到交易實際上已被取消時,他將交付貨物。

金色財經現場報道 元道:“人人公鏈”狀態要實現“SPEAR”:金色財經現場報道,在世界區塊鏈大會·三點鐘峰會宏觀經濟探討部分,中關村區塊鏈產業聯盟理事長作了題為“區塊鏈技術下的未來金融與經濟新格局”中指出,未來是“人人公鏈”的時代,形成公鏈聯盟要素有:security、personal、edge、appliacations、revolution。[2018/4/24]

需要明確的是:在RBF之前可能會發生類似的攻擊,但是在錢包提供商沒有采取適當預防措施的情況下,付款方式突顯了這種風險。

惡意行為者可以利用受害人陳述的余額與實際余額之間的這種差異,誘使人們在不支付費用的情況下提供商品或服務,但所花的費用很少。從這個意義上講,缺陷在于錢包的UX和UI設計。

雙重麻煩?

ZenGo的研究人員說,如果黑客可以誘騙一個人相信他們已經收到付款,同時又保持對比特幣的控制權,那么這就是雙花。其他人對此術語的使用提出異議。

“您必須確定雙重支出的定義是什么。多數不是巨魔的人會說,雙倍支出是指您有一筆已確認的交易因某種原因而無效并花費在另一筆已確認的交易上,”保管公司Casa的首席技術官JamesonLopp說道。

本質上,這種攻擊利用了錢包顯示未確認交易的方式。從這個意義上講,這種攻擊并沒有破壞比特幣代碼的運行方式。

洛普說:“區塊鏈的全部目的是防止雙重支出問題。”“它可以追溯到原始的Satoshi白皮書,該白皮書說,雙花的解決方案是擁有許多人正在檢查的分布式分類帳。”

您唯一可以依靠的是已開采的交易

0xB10C說,與比特幣進行交易的一般經驗法則是,永遠不要信任少于六個確認的交易。包括Todd,Lopp和BRDCTOSamuelSutch在內的許多開發人員都重申了這一點。如果此漏洞利用得以實現,那么受害者至少應承擔部分責任。

“您唯一可以依靠的是已經開采的交易,”托德說。

從這個意義上講,Sutch將BigSpender稱為“次要錯誤”和“人為的”,但也值得修復并為此付出賞金。Sutch說,BRD最近通過了500萬用戶。

洛普說:“更多的錢包開發人員需要知道他們的用戶并不了解其內在區別。”從安全的角度來看,許多人甚至都不知道已確認和未確認之間的區別。因此,開發人員有責任建立更好的用戶體驗,這樣他們就不會被諸如此類的事情所迷惑和欺騙。”

為此,Ledger更新了錢包顯示待處理交易的方式。如果用戶不確定使用塊瀏覽器“檢查交易狀態”。Ledger的首席技術官CharlesGuillemet在電子郵件中說:“今天的銀行無法進行這種驗證。”

雙重視野

更新錢包以清楚地顯示RBF交易期間發生的事情對于每個參與人員都是一件好事。但是,ZenGo的研究人員發現,存在第二種攻擊,該攻擊遵循上述相同的方案,并且無論受害者是否知道交易,都可能永久禁用錢包。

在這種情況下,攻擊者再次通過向受害者的錢包發送重復交易來人為地虛增受害者的余額。這可以在未經受害者同意的情況下完成。通過在確認交易之前重新路由交易,受害者的錢包余額和實際資金再次分離,從而使他們的錢包無法使用。更糟糕的是,攻擊可能同時影響多個錢包。

從本質上講,這是拒絕服務攻擊,阻止人們使用錢包。

Ohayon說:“如果錢包的硬幣選擇算法從這筆不存在的交易中選擇資金,這也會使其他種類的發送嘗試失效。”用Sutch的話來說,這些錢包是“磚狀的”。“這帶來了極大的不便。”

Sutch說,BRD在收到警報后將漏洞作為公司的首要任務。他說,奇怪的是,它在解決一個不相關的問題時設法修復了該錯誤。

ZenGo的安全性研究提出的問題并未被團隊測試的錢包所隔離。在絕大多數的Bitcoin錢包都能夠接收RBF交易,其中許多人背后的公司是“資源約束”,Sutch說,并不能立即提供修補程序。

Lopp說,在Casa上啟用RBF功能時,他將系統配置為在確認之前不顯示這些類型的交易,這在行業中是非標準的。他說:“默認參數將顯示這些交易。”

Tags:區塊鏈比特幣DGEEDG區塊鏈運用的技術中不包括哪一項Ac/s比特幣有黑幣嗎ledger錢包支持usdt么ledger錢包官網上不去

火幣APP
WEB3:幣凱言:7.3比特幣行情研判,空頭打壓,多頭何時爆發?_fio幣web3

幣圈有大事: 1.馬斯克:沒有在以太坊上建立任何東西;2.比特幣礦工6月份收入下降23%;3.美國國稅局為加密貨幣調查試點計劃收集信息;4.

1900/1/1 0:00:00
龍興旺:7.3BTC沖擊強壓失敗空頭反撲 如何進行下一步

龍興旺:7.3BTC沖擊強壓失敗空頭反撲如何進行下一步面對金融市場,有人盆滿缽滿,那就自然有人血本無歸.

1900/1/1 0:00:00
KEEP:雷凱:7.3比特幣多次下觸8字頭,迎來多頭反撲,是誘多還是誘空?_bitkeep排名第幾

嶄新的一天開始,生命不息,戰斗不止,在人的一生中,我們難免會輸掉或失去什么,但一定不能輸掉心情,與時俱進追趕太陽,創造生活收獲幸福,昨天已經成為歷史,一味沉浸其中,只會荒廢了現在.

1900/1/1 0:00:00
ETA:7.2 比特幣行情分析-多空爭奪多軍險勝,日內建議低多為主_區塊鏈存證

今日資訊:   北京市將成立由市領導牽頭區塊鏈工作推進小組協調解決區塊鏈技術產業發展中重大問題:據北京日報消息,《北京市區塊鏈創新發展行動計劃》印發.

1900/1/1 0:00:00
虎符將于 7月3日17:00 正式上線PNK(Kleros )

尊敬的虎符用戶: 虎符將于2020年7月3日17:00(UTC8)重磅上線PNK/USDT和PNK/ETH交易對。充值已開啟,提現將于7月4日15:00開啟.

1900/1/1 0:00:00
WAVES:[持幣者]7月2日比特幣行情分析 昨天行情的拉升是否在“誘多''''_waves幣最新消息

:持幣者團隊以技術分析為中心,客觀分析幣市,實事求是。絕不弄虛作假,注重實戰交易技巧,波段抓取,趨勢現貨布局,超短線合約交易,合理資金投資配比,旨在為幣友們提供技術分析服務,努力打造自身品牌.

1900/1/1 0:00:00
ads