Foto: Shutterstock/Marc Bruxelle
ZenGo heeft een nieuwe fout ontdekt in de user interface van populaire bitcoin (BTC) wallets. Het gaat om de wallets van Ledger Live, BRD, Edge en wellicht meer. Dat meldt ZenGo op 2 juli in een persbericht.
2/ #BigSpender details: https://t.co/pT8fPsvR5a
— Tal Be’ery (@TalBeerySec) July 2, 2020
Volgens ZenGo, zelf ook een wallet service, kan deze bug misbruikt worden door gebruikers te laten denken dat zij hun bitcoin hebben ontvangen terwijl dat niet zo is. ZenGo noemt dit een zogenaamde “double spend vulnerability”
De fout ligt naar verluidt in een functie van bitcoin genaamd Replace-by-Fee (RBF). Deze optie maakt het mogelijk voor gebruikers om een transactie die nog in de wachtlijst staat te vervangen met dezelfde, maar dan met een hogere fee. De hogere fee zou ervoor moet zorgen dat miners de transactie sneller bevestigen.
Vervolgens zou deze optie misbruikt kunnen worden met een truc door de transactie op het laatste moment te annuleren. Daardoor lijkt het erop dat de ontvanger zijn bitcoin, ontvangen heeft, maar dat is eigenlijk niet gebeurd. ZenGo noemt de bug de “BigSpender.” Volgens ZenGo ligt de fout niet in het bitcoin-netwerk, maar in de user interfaces van deze wallets.
ZenGo kwam hier eigenlijk al een paar maanden geleden achter, maar vanwege een formeel openbaarmakingsproces moest het bedrijf de informatie 90 dagen geheim houden en de diensten de kans geven het probleem te verhelpen. Deze periode eindigde op 1 juli.
De drie genoemde bedrijven zouden inmiddels het probleem hebben aangepakt en updates hebben uitgevoerd, maar ze ontkennen dat er een mogelijkheid bestond om double spend attacks uit te voeren. Daarnaast meldt ZenGo dat de fout ook misbruikt zou kunnen worden om wallets volledig ontoegankelijk te maken voor gebruikers. Klik hier om meer informatie over de BigSpender te lezen.
