Найденная уязвимость позволяет несколько раз перевести денежные средства, а после чего незаметно для жертвы отменить транзакцию. На данный момент уязвимыми были признаны кошельки трех разработчиков, но в действительно их может быть больше.
Уязвимость была найдена специалистами компании ZenGO, которая работает в направлении разработок для кошельков криптовалюты. Проблема была названа Big Spender. С ее помощью киберпреступники могут имитировать проведенную транзакцию – выполнять и отменять ее таким образом, что получатель денежных средств и не поймет, что стал жертвой мошенничества.
В Bitcoin транзакции имеют собственную простую обратимость в течение некоторого времени после выполнения платежа. Платеж можно назвать совершенным, если транзакция была подтверждена. Описанный выше мошеннический способ с опытными пользователями не пройдет, а с новичками – вполне.
Уязвимость напрямую связана с функционалом некоторых видов bitcoin-кошельков по обработке функции replace-by-fee. Это традиционная методика отзыва транзакции за счет отправки другой транзакции с аналогичным размером средств, но с большим указанным размером комиссии. ИБ-специалистами из компании ZenGO было выяснено, что криптовалютные кошельки Breadwallet, LedgerLive, Edge не совсем корректно обрабатывают подобные запросы, поэтому для указанной выше кибератаки есть все возможности. Есть вероятность, что подобная проблема есть и во многих других bitcoin-кошельках, но в менее популярных.
Специалисты компании ZenGO в своего блоге описывают несколько разновидностей возможных кибератак. Одна из наиболее простых состоит в следующем: пользователю отправляют несколько биткоинов в обмен на определенные товары или услуг, после чего сразу же откатывают транзакцию. В кошельках подмена сразу не отображается, поэтому в интерфейсе демонстрируется неправильный размер имеющихся средств. Поэтому пользователь уверен, что получил все деньги сполна.
Также можно выделить способ кибератаки, в процессе которого на пользовательский кошелек отправляется сразу несколько транзакций, после чего их сразу отменяют, а пользователь считает, что ему перевели слишком много криптовалюты. В этой ситуации возможна просьба со стороны злоумышленников по требованию возврата излишка, которого в действительности не существует.
Отмечается, что уязвимость уже сейчас устранена в кошельках Ledger и BreadWallet. Разработчики из Edge подтвердили ее наличие, но соответствующего патча пользователи от них пока не дождались.
