ZenGo研究人员警告称Ledger Live，BRD和Edge钱包可能存在漏洞

非托管人加密货币钱包ZenGo的开发商在竞争对手Ledger Live，BRD（以前称为Bread）和Edge的产品中揭示了双重支出的潜在漏洞。 在最坏的情况下，它可能会导致用户失去一切财力。 该漏洞称为BigSpender（spender），其特征在于，攻击者可以发送具有最低佣金的交易，然后立即将其替换为另一笔交易，从而通过“按费用收费”功能增加佣金。 因此，矿工会受到激励，最初会核实更有利可图的新交易并将资金重定向到另一个地址。

研究人员解释说：“ BigSpender的主要问题是易受攻击的钱包还没有准备好取消交易，并隐含地假设它将最终被确认。”

根据ZenGo的报告，版本2.7.0和4.3.1之前的Ledger Live和BRD钱包没有说明潜在的交易取消。 此外，他们只是在视觉上将额外的资金投入到用户的余额中，而无需等待确认。 在第一种情况下，问题是通过清除缓存并强制网络重新同步来解决的；在第二种情况下，这需要用户以及可能的外部工具的一些专业知识。 在Edge Wallet，对于一系列延迟的交易，余额仅增加一次-可以通过按下选项菜单中的“重新同步”按钮来解决。 ZenGo得出结论，BigSpender可能无法完全提取钱包中的资金，因为其中一些根本不存在。 在更严重的情况下，例如对钱包的故意双重DDoS攻击，其所有者将无法提取甚至很少的资金。

“在一些脆弱的钱包中，要从这种攻击中恢复是困难的，甚至是不可能的。 即使重新安装钱包，也不会导致它与网络重新同步并显示正确的余额。 如果无法恢复，拒绝服务攻击将变为永久性。

Ledger技术总监Charles Guillaume保证该漏洞与该公司的硬件钱包无关，并拒绝将其识别为漏洞：

“实际缺陷可以看作是一个巧妙的技巧，而不是一个漏洞。 作弊不是一种利用。 但是我们真的不希望有人屈服于这样的计划。 因此，当尚未确认传入交易时，将在Ledger Live中显示警告。”

ZenGo的代表在报告发布前90天通知了易受攻击的钱包的开发人员，但Edge Wallet仍未解决此漏洞，他们计划在将来修复此漏洞。 BRD表示，在与ZenGo交换信息期间从未成功证明过双重支出这一事实，但是，已经实施了必要的补丁程序。 BRD技术总监Samuel Satch认为，该攻击应被归类为“拒绝服务”，因为“由于用户钱包中最终付款金额的折衷，访问资产可能会受到几天的限制。” 回想一下，先前著名的比特币投资者Alistair Milne进行了一项实验，他试图了解有关钱包的多少数据足以破解它。 在Facebook上关注ForkLog！

—-

原文链接：https://forklog.com/issledovateli-zengo-predupredili-o-potentsialnoj-uyazvimosti-v-koshelkah-ledger-live-brd-i-edge/

原文作者：ForkLog

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。