BCH Twierdzenie, że portfel Bitcoin nie został naprawiony.

BRD, Ledger Live i Edge znajdują się wśród portfeli podatnych na nowe podwójne wydatki, ale niektórzy uważają, że podatność ta jest nieodłącznie związana z samym Bitcoinem.

2 lipca firma ZenGo, zajmująca się bezpieczeństwem kryptograficznym, zidentyfikowała exploit o podwójnym wydatku, skierowany do kilku popularnych portfeli Bitcoin Era (BTC), nazwany „BigSpender“.

Spośród dziewięciu portfeli kryptokurwalutowych testowanych przez ZenGo, BRD, Ledger Live i Edge’a stwierdzono, że były podatne na atak. Te trzy firmy zaktualizowały swoje produkty po tym, jak ZenGo powiadomiło je o zagrożeniu, jednak firma ostrzegła, że „miliony“ użytkowników kryptotek mogły być narażone na atak przed jego identyfikacją.

Pomimo posunięcia portfela w celu ochrony przed BigSpenderem, zwolennik Bitcoin Cash (BCH) Hayden Otto twierdzi, że podatność jest nieodłącznym elementem Bitcoin „z założenia“ i nadal może być wykorzystana.

Bezbronność Bitcoinów

BigSpender został odkryty dzięki trwającym badaniom ZenGo nad funkcją „Replace-by-Fee“ (RBF) firmy Bitcoin.

Według firmy ochroniarskiej „RBF jest standardową metodą pozwalającą użytkownikom na „cofnięcie“ jeszcze nie potwierdzonej transakcji, poprzez wysłanie innej transakcji wydającej te same monety (ale ewentualnie inne miejsce przeznaczenia) za wyższą opłatą“.

BigSpender nie jest pierwszym przypadkiem wykorzystania luk w RBF w celu przeprowadzenia ataku typu „double-spend“, przy czym podobna technika została notorycznie przedstawiona w grudniowym filmie opublikowanym przez Otto, który szybko stał się wirusem. Eksplozja jest możliwa tylko przy zerowych potwierdzeniach.

W rozmowie z Cointelegrafem Otto stwierdził, że atak RBF „dotyczy w szczególności handlowców akceptujących BTC, którzy mogliby z łatwością przekazać towar klientowi, który po wyjściu ze sklepu odwrócił swoją transakcję BTC“.

Technika ta jest ułatwiona przez RBF (zastąpienie przez opłatę), tak zwaną „funkcję“ dodaną na poziomie protokołu przez programistów Bitcoin Core.Problem istnieje, jeśli używasz BTC. Oprogramowanie portfelowe może tylko trochę odpuścić, co skutkuje gorszym doświadczeniem użytkownika BTC, aby spróbować chronić użytkowników BTC“.

Zwolennik BCH opisał ten exploit jako „problem z samym BTC“, dodając, że nie ma on „nic wspólnego z różnymi programami portfelowymi“.

Portfele kwestionują powagę zagrożenia

Jednak nie wszyscy są przekonani, że BigSpender stanowi poważne zagrożenie dla Bitcoina, a dotknięci nim dostawcy portfeli kwestionują język używany przez badaczy ZenGo.

Rozmowa z Forbesem: Ledger zapewnił: „Nie ma faktycznego podwójnego wydatku“. Fundusze użytkownika pozostają bezpieczne. Niemniej jednak, wyświetlanie otrzymanych transakcji może być mylące“.

To jest oczywiście to, co Otto wykorzystał: nakłonienie kupców do przekazania towaru przed przekazaniem środków z powodu „wprowadzającej w błąd“ prezentacji. Jednakże handlowcy, którzy czekają na potwierdzenie transakcji przed wysłaniem towarów, nie ryzykują, że zostaną dotknięci tym problemem.

ZenGo udostępniło bezpłatne narzędzie open-source, które umożliwia dostawcom portfeli testowanie swoich produktów i zabezpiecza przed podatnością na zagrożenia ze strony BigSpendera. Firma zauważyła, że nie wszystkie portfele dotknięte tą luką zostały zaktualizowane.