Bitcoin-wallet ZenGo heeft onlangs een kwetsbaarheid bekendgemaakt die in veel crypto-wallets aanwezig is, genaamd “BigSpender”. Dit volgens een publicatie van ZenGo.
Door deze exploit kan een aanvaller een transactie annuleren maar toch het geld in de portemonnee van het slachtoffer laten verschijnen. Daarnaast wordt de portemonnee van het slachtoffer ook beschadigd, waardoor het slachtoffer de fondsen niet meer kan uitgeven of gebruiken.
ZenGo onthulde dit beveiligingslek na het informeren van de portefeuilleleveranciers die vatbaar zijn voor deze aanval. Het bedrijf beweerde dat slechts enkele aanbieders hun software hebben geüpdate om dit soort aanvallen te voorkomen. Om deze reden heeft ZenGo besloten om de kwetsbaarheid openbaar te maken, ruim 90 dagen nadat het bedrijf de blootgestelde Bitcoin-wallets heeft gewaarschuwd.
Hoe werkt deze kwetsbaarheid?
De Bitcoin-blockchain heeft een mechanisme genaamd Replace-By-Fee (RBF), een relay-beleid dat een 0-conf-transactie (transacties zonder bevestigingen) kan signaleren om door de volgende transactie door de gebruiker te worden vervangen. Om dit te doen, moet de gebruiker wordt geadviseerd om dezelfde munten uit te geven en een hogere vergoeding te betalen. RBF vereist dat de gebruiker en wallet-apps onbevestigde transacties als onveilig identificeren.
Volgens ZenGo zijn veel wallets hier niet in geslaagd, waardoor de kwetsbaarheid genaamd “BigSpender” mogelijk is. Het bedrijf zei het volgende in haar blogpost:
“Kwetsbare wallets zijn niet voorbereid op de mogelijkheid dat een transactie wordt geannuleerd en gaan er impliciet van uit dat deze uiteindelijk zal worden bevestigd.”
Door het beveiligingslek lijken de wallets van gebruikers meer Bitcoins te hebben, zelfs als de inkomende transactie nog steeds niet is bevestigd. Bovendien worden de geannuleerde transacties niet weergegeven in de lijst met geannuleerde transacties en kan UTXO nog steeds worden geselecteerd door de wallet-app, ondanks dat de daadwerkelijke transactie niet uitgevoerd wordt.
De aanvaller kan in principe om een goed of dienst vragen en wanneer de goederen of dienst worden geleverd, kan de aanvaller kan de transactie annuleren, maar het slachtoffer zal geloven dat het geld op hun rekening staat omdat de Bitcoin-wallet de transactie als voltooid beschouwd.
ZenGo zei dat deze aanval “moeilijk of onmogelijk te herstellen is”. De aangevallen wallet zou niet opnieuw kunnen synchroniseren met het netwerk om het juiste saldo te tonen, waardoor de wallet beschadigd raakt.
ZenGo gaf aan dat Bread Wallet en Ledger Live het probleem hebben opgelost. Edge Wallet erkende de kwetsbaarheid maar heeft het nog niet opgelost. ZenGo zei echter dat het probleem met Edge, met betrekking tot het onjuiste saldo, kan worden opgelost door te klikken op “Opnieuw synchroniseren” in opties.
Velen twijfelen echter aan het feit of het wel een “kwetsbaarheid” is. Ledger merkte op dat het geen kwetsbaarheid is, maar gewoon een UX-bug of bedrog. Ten eerste ging het om een social engineering; de aanvaller moet het slachtoffer eerst overtuigen zodat de aanvaller kan profiteren van de exploit, net als bij andere crypto-scams.
