Vědci společnosti ZenGo testovali zranitelnost, označovanou jako BigSpender, na velkých peněženkách, jako jsou Edge, BRD a Ledger, a zjistili, že využitím funkce Replace-by-Fee je možné zdvojit transakci. Replace-by-Fee umožňuje uživateli odeslat bitcoinovou transakci s nízkým poplatkem a odeslat stejný bitcoin v jiné transakci s vyšším poplatkem.
Po dokončení se původní transakce zruší a nahradí se druhou transakcí, která je v síti potvrzena rychleji, protože ji mineři upřednostňují díky vyššímu poplatku. Pokud peněženka kryptoměny přijímá nepotvrzené transakce příliš rychle, může to pro uživatele vypadat, jako by obdržel prostředky, zatímco jsou stále odesílány. Pokud útočník přesune prostředky na jinou peněženku s vyšším poplatkem za transakci, počáteční transakce se zruší, i když uživatel vidí prostředky v zůstatku.
BigSpender lze použít i vícekrát. Pokud útočník chce koupit něco, co stojí 1 BTC, může poslat 10 transakcí po 0,1 BTC. Příjemce by viděl, že v peněžence obdržel 1 BTC, ale útočník by pak mohl přesunout 0,1 BTC na jinou adresu.
Protože by peněženka příjemce měla špatně vypočítaný zůstatek, mohli by útočníci zmrazit prostředky i pomocí denial-of-service útoku. Oběť by viděla skutečný zůstatek ve své peněžence až poté, co ji znovu synchronizuje s bitcoinovým blockchainem.
Společnost ZenGo vydala open-source nástroj pro testování peněženek proti BigSpenderu.
Zdroj: cryptoglobe.com