Grandes carteiras de Bitcoin podem ser vulneráveis ​​a ataques duplos

Pesquisadores da startup de criptomoedas ZenGo, que está desenvolvendo uma carteira de criptomoeda móvel, encontraram uma vulnerabilidade em algumas das carteiras de criptomoeda mais populares, incluindo Ledger, BRD e Edge.

• Desenvolvedor que invadiu com sucesso a carteira de Bitcoin garante que o Bitcoin ainda está seguro

A vulnerabilidade, batizada de BigSpender, pode levar a erros nos saldos das carteiras, fazendo com que transações não confirmadas sejam levadas em consideração.

Um invasor em potencial poderia aproveitar o recurso Substituir por Taxa, para substituir uma transação original de Bitcoin por uma nova, com uma taxa mais alta, para efetivamente dobrar os fundos.

De acordo com o ZenGo, a vulnerabilidade não considerava uma transação cancelada e depositavam os fundos dos usuários em uma carteira antes de esperar pela confirmação na blockchain.

• Investidor perde senha de wallet com Bitcoin, procura ajuda de hacker e consegue recuperar criptomoeda 

A vulnerabilidade BigSpender poderia ser aproveitada mais de uma vez, com um usuário com 0,1 BTC enviando dez transações para pagar 1 BTC e, em seguida, enviar os fundos para outra carteira usando uma taxa mais alta.

Como as carteiras têm o saldo incorreto, os fundos dos usuários também poderiam ser congelados usando ataques de negação de serviço. Os fundos, neste caso, permaneceriam seguros.

Vale ressaltar que esta não é uma vulnerabilidade do protocolo do Bitcoin.

• Ledger expande opções de pagamentos cripto com parceria com app de carteiras Crypto.com

Prêmio por bug encontrado e posição da Ledger sobre o caso

O ZenGo teria compartilhado suas descobertas com Ledger, BRD e Edge há 90 dias. Ledger e BRD pagaram os prêmios por busca de bugs e a BRD já lançou sua correção. Os pesquisadores também lançaram uma ferramenta de código aberto para testar o comportamento da sua carteira em relação ao BigSpender.

A Ledger publicou uma postagem em seu blog minimizando o impacto do BigSpender. A empresa diz não considerá-la uma vulnerabilidade, mas uma falha de design - já que seus fundos permanecem seguros.

"Tudo foi corrigido na atualização mais recente lançada há dois dias", disse o vice-presidente de marketing Benoît Pellevoizin. 

LEIA MAIS

• Bitcoin move em um dia o equivalente a 11% das transações anuais da Venmo, empresa do conglomerado Paypal
• Fundação aBey apresenta nova tecnologia de cartão de crédito próprio para criptomoeda
• Oracle e World Bee Project vão rastrear sustentabilidade do mel em blockchain
• Banco ING lança a ferramenta de privacidade em blockchain Bulletproofs