EDGE:財經狐：研究人員發現比特幣錢包中的缺陷可能會被雙重利用_比特幣走勢圖最新今日價格

新的研究發現，可能會誤用一種標準的比特幣交易方式來實現雙倍支出。

錢包初創公司ZenGo的區塊鏈偵探發現了一個漏洞，該漏洞至少影響了三個主要的競爭加密錢包-LedgerLive，Edge和Breadwallet-甚至可能更多。

該漏洞被總部位于特拉維夫的公司稱為BigSpender，它使黑客能夠將用戶的資金花費雙倍，并可能阻止用戶再次使用其錢包。它通過利用某些錢包的處理方式來處理比特幣的按需收費功能，該功能具有故障保護功能，使用戶能夠將未經確認的交易與費用較高的交易進行交換。

ZenGo首席執行官OurielOhayon在一封電子郵件中說：“可能會導致重大的財務損失，并在某些情況下使受害者的錢包完全無法使用，而受害者無法保護自己。”“因此，這可以看作是嚴重程度很高的攻擊。”

金色財經行情播報丨BTC 日內震蕩上行，逐步形成區間震蕩走勢:據火幣行情顯示， BTC在早間下探11,102USDT后，多頭基本守住了下方11,100USDT整數關口。BTC在日內持續震蕩上行，目前逐步形成了在11,100-11,400USDT的震蕩區間。晚間如果突破震蕩區間上沿11,400USDT，可以關注是否嘗試沖擊12,000USDT前期阻力位。截至18:30，主流幣的具體表現如下：[2020/8/5]

像其他具有相關漏洞的可選比特幣功能一樣，RBF功能已成為用戶來回傳遞價值的標準方式。它被開發者社區推銷并接受，作為比特幣人通過支付更多費用來規避緩慢確認時間的一種方式。

匿名的比特幣研究人員0xB10C表示，從一開始，人們就擔心盡管RBF功能已集成在比特幣系統的協議層中，但并未得到比特幣錢包的充分支持。“ZenGo表明，用戶可能被欺騙，以為他沒有收到比特幣。我相信這是新穎的。我至少以前沒有聽說過，”他說。

金色財經 | Facebook加密貨幣項目Libra白皮書已發布:1.美國眾議院金融服務委員會主席要求Facebook暫停加密貨幣項目。

2.Facebook區塊鏈負責人：將與當局分享數據，不排除傳統銀行將加入Libra項目。

3.萊特幣基金會推出支持LTC等加密貨幣的借記卡。

4.Facebook區塊鏈主管：Facebook不會訪問Calibra錢包上的財務數據。

5.扎克伯格：Libra計劃在2020年發布 旨在建立一個簡單的全球金融基礎設施。

6.Facebook加密貨幣項目Libra的核心：去中心化、低波動性、智能合約?

7.幣安將于6月18日16點上線BTCB/BTC。

8.金融行動特別工作組 FATF等相關決策者召開全球會議 將確定全球加密指南。

9.佛羅里達法官封存了澳本聰提交的比特幣持倉清單。[2019/6/19]

該公司測試了九種不同的錢包，包括LedgerLive，Trust錢包，Exodus，Edge，Bread，Coinbase，BlockstreamGreen，Blockchain和AtomicWallet。在測試的對象中，發現有三個很容易受到理論攻擊。

金色財經數據報道 以太坊失去萬年老二的位置，市值占比下滑較大:根據AiCoin數據顯示，目前加密貨幣總市值為20,414.692億人民幣，市值目前處于上升階段。不過比特幣的市值卻仍處于下跌現象，目前比特幣市值為7309億人民幣，目前占整個加密貨幣總市值的35.8%；以太坊萬年老二的位置也被HNR搶走，目前HNR的市值為3140億人民幣，占整個加密貨幣總市值的15.38%；瑞波幣跌落前三排行榜，第三名的位置由以太坊占據，目前ETH目前總市值為2635億人民幣，占整個加密貨幣總市值的12.91%。[2018/4/12]

Ohayon說：“我們還沒有測試所有的錢包，但是如果涉及到其中三個最大的錢包，那么可能還會更多。”ZenGo將發現的結果通知了公司，并給了他們90天的時間修復漏洞。

EdgeCEOPaulPuey在一封電子郵件中說，Ledger和BRD已經發布了代碼更改以防止攻擊發生，并向ZenGo支付了未公開的bug賞金，而Edge正在進行“重大重構”以解決該問題，Edge首席執行官PaulPuey在一封電子郵件中表示。

金色財經訊:澳大利亞央行發布新聲明，稱區塊鏈可能不適合現有的銀行體系。兩名央行人員上周表示，加密貨幣目前并未對澳大利亞央行的支付政策構成“緊迫的監管問題”。[2017/10/31]

前比特幣開發商，RBF的建筑師彼得·托德說，這種黑客利用了某些錢包如何處理未經確認的交易的已知漏洞，包括但不限于RBF。

工作原理：攻擊者將資金發送給預定的受害者，并將費用定得足夠低，幾乎可以保證交易不會收到確認。對于易受攻擊的錢包，此未完成的交易將反映為收件人的帳戶余額的增加，可能導致某些受害者錯誤地認為已確認了該未完成的交易。然后，攻擊者通過使用RBF將接收者更改為他們控制的地址，以ZenGo的術語“取消”待處理的交易。當受害者意識到交易實際上已被取消時，他將交付貨物。

需要明確的是：在RBF之前可能會發生類似的攻擊，但是在錢包提供商沒有采取適當預防措施的情況下，付款方式突顯了這種風險。

金色財經訊:俄羅斯財政部在周一的監管機構會議上提議，應登記比特幣礦工并承認其合法化，以向礦工征稅；同時向比特幣交易所頒發交易許可證，僅允許銀行和金融機構進行數字貨幣兌現。[2017/10/11]

惡意行為者可以利用受害人陳述的余額與實際余額之間的這種差異，誘使人們在不支付費用的情況下提供商品或服務，但所花的費用很少。從這個意義上講，缺陷在于錢包的UX和UI設計。

雙重麻煩？

ZenGo的研究人員說，如果黑客可以誘騙一個人相信他們已經收到付款，同時又保持對比特幣的控制權，那么這就是雙花。其他人對此術語的使用提出異議。

“您必須確定雙重支出的定義是什么。多數不是巨魔的人會說，雙倍支出是指您有一筆已確認的交易因某種原因而無效并花費在另一筆已確認的交易上，”保管公司Casa的首席技術官JamesonLopp說道。

本質上，這種攻擊利用了錢包顯示未確認交易的方式。從這個意義上講，這種攻擊并沒有破壞比特幣代碼的運行方式。

洛普說：“區塊鏈的全部目的是防止雙重支出問題。”“它可以追溯到原始的Satoshi白皮書，該白皮書說，雙花的解決方案是擁有許多人正在檢查的分布式分類帳。”

您唯一可以依靠的是已開采的交易

0xB10C說，與比特幣進行交易的一般經驗法則是，永遠不要信任少于六個確認的交易。包括Todd，Lopp和BRDCTOSamuelSutch在內的許多開發人員都重申了這一點。如果此漏洞利用得以實現，那么受害者至少應承擔部分責任。

“您唯一可以依靠的是已經開采的交易，”托德說。

從這個意義上講，Sutch將BigSpender稱為“次要錯誤”和“人為的”，但也值得修復并為此付出賞金。Sutch說，BRD最近通過了500萬用戶。

洛普說：“更多的錢包開發人員需要知道他們的用戶并不了解其內在區別。”從安全的角度來看，許多人甚至都不知道已確認和未確認之間的區別。因此，開發人員有責任建立更好的用戶體驗，這樣他們就不會被諸如此類的事情所迷惑和欺騙。”

為此，Ledger更新了錢包顯示待處理交易的方式。如果用戶不確定使用塊瀏覽器“檢查交易狀態”。Ledger的首席技術官CharlesGuillemet在電子郵件中說：“今天的銀行無法進行這種驗證。”

雙重視野

更新錢包以清楚地顯示RBF交易期間發生的事情對于每個參與人員都是一件好事。但是，ZenGo的研究人員發現，存在第二種攻擊，該攻擊遵循上述相同的方案，并且無論受害者是否知道交易，都可能永久禁用錢包。

在這種情況下，攻擊者再次通過向受害者的錢包發送重復交易來人為地虛增受害者的余額。這可以在未經受害者同意的情況下完成。通過在確認交易之前重新路由交易，受害者的錢包余額和實際資金再次分離，從而使他們的錢包無法使用。更糟糕的是，攻擊可能同時影響多個錢包。

從本質上講，這是拒絕服務攻擊，阻止人們使用錢包。

Ohayon說：“如果錢包的硬幣選擇算法從這筆不存在的交易中選擇資金，這也會使其他種類的發送嘗試失效。”用Sutch的話來說，這些錢包是“磚狀的”。“這帶來了極大的不便。”

Sutch說，BRD在收到警報后將漏洞作為公司的首要任務。他說，奇怪的是，它在解決一個不相關的問題時設法修復了該錯誤。

ZenGo的安全性研究提出的問題并未被團隊測試的錢包所隔離。在絕大多數的Bitcoin錢包都能夠接收RBF交易，其中許多人背后的公司是“資源約束”，Sutch說，并不能立即提供修補程序。

Lopp說，在Casa上啟用RBF功能時，他將系統配置為在確認之前不顯示這些類型的交易，這在行業中是非標準的。他說：“默認參數將顯示這些交易。”

Tags：比特幣EDGEEDGDGE比特幣走勢圖最新今日價格iXledgerHedgePayHedge Tech Governance

Coinw