區塊鏈:財經狐：研究人員發現比特幣錢包中的缺陷可能會被雙重利用

新的研究發現，可能會誤用一種標準的比特幣交易方式來實現雙倍支出。

錢包初創公司ZenGo的區塊鏈偵探發現了一個漏洞，該漏洞至少影響了三個主要的競爭加密錢包-LedgerLive，Edge和Breadwallet-甚至可能更多。

該漏洞被總部位于特拉維夫的公司稱為BigSpender，它使黑客能夠將用戶的資金花費雙倍，并可能阻止用戶再次使用其錢包。它通過利用某些錢包的處理方式來處理比特幣的按需收費功能，該功能具有故障保護功能，使用戶能夠將未經確認的交易與費用較高的交易進行交換。

ZenGo首席執行官OurielOhayon在一封電子郵件中說：“可能會導致重大的財務損失，并在某些情況下使受害者的錢包完全無法使用，而受害者無法保護自己。”“因此，這可以看作是嚴重程度很高的攻擊。”

獨家 | 金色財經2月20日挖礦收益數據播報:金色財經報道，據印比特數據顯示，按照BTC參考價格67500元、電價0.38元/kWh計算，當前在售主流BTC礦機的市場價格及回本周期為：芯動T3+-57T（全新現貨9700元，309天回本）、阿瓦隆1066-50T（全新現貨6300元，239天回本）、神馬M20S-68T（全新現貨12600元，275天回本）、螞蟻S17Pro-56T（全新現貨12500元，339天回本）。[2020/2/20]

像其他具有相關漏洞的可選比特幣功能一樣，RBF功能已成為用戶來回傳遞價值的標準方式。它被開發者社區推銷并接受，作為比特幣人通過支付更多費用來規避緩慢確認時間的一種方式。

匿名的比特幣研究人員0xB10C表示，從一開始，人們就擔心盡管RBF功能已集成在比特幣系統的協議層中，但并未得到比特幣錢包的充分支持。“ZenGo表明，用戶可能被欺騙，以為他沒有收到比特幣。我相信這是新穎的。我至少以前沒有聽說過，”他說。

金色財經現場報道 火幣COO朱嘉偉：EOS是創造歷史的機會:金色財經現場報道，在火幣EOS全球超級節點SHOW上，火幣COO朱嘉偉進行以《EOS——一個創造歷史的機會》為題的現場致辭，朱嘉偉指出：區塊鏈是為數不多的能夠討論哲學的產業，它是一個可以譜寫歷史的機會。火幣以“讓金融更高效、讓財富更自由”為愿景，區塊鏈打破的是金融的壁壘和邊界，可以提升金融效率。火幣正處于從公司制向社區制轉化的階段，希望未來有更多人參與到火幣的業務執行與推廣過程中。火幣會從以下幾點支持EOS生態：火幣礦池參與超級節點全球競選；火幣生態基金成立EOS專項子基金；HADAX海達克斯成立EOS專區。[2018/5/14]

該公司測試了九種不同的錢包，包括LedgerLive，Trust錢包，Exodus，Edge，Bread，Coinbase，BlockstreamGreen，Blockchain和AtomicWallet。在測試的對象中，發現有三個很容易受到理論攻擊。

金色財經獨家分析 微軟所謂區塊鏈只是在制造泡沫？:金色財經獨家分析，微軟周一發布Azure Blockchain Workbench，為分布式賬本技術的開發人員提供一套新的工具。微軟在2014年底開始試水區塊鏈，于2015年在其公共云上推出了區塊鏈服務，并一直在為其添加新功能。自微軟宣布向區塊鏈領域開放Azure云計算平臺以來，其合作伙伴源源不斷。微軟的區塊鏈即服務（BaaS）解決方案是作為一種“沙盒”，其合作伙伴可以在微軟提供的這個低風險環境中交互不同的技術，從智能合同到基于區塊鏈的納稅申報服務。”不過業內也有聲音稱微軟干的是“制造區塊鏈泡沫”，基于其中心化的Azure不僅自身就違背了區塊鏈技術decentralize的特點，基于其構建的所謂區塊鏈應用怎么可能擺脫Azure中心化的影子？更讓業內質疑的是，微軟和IBM竟然都在各自中心化的平臺上企圖去構建一個decentralize的平臺，這本身就是個悖論。[2018/5/8]

Ohayon說：“我們還沒有測試所有的錢包，但是如果涉及到其中三個最大的錢包，那么可能還會更多。”ZenGo將發現的結果通知了公司，并給了他們90天的時間修復漏洞。

金色財經現場報道 OK資本投研負責人周子涵：多中心化要實現自信任:金色財經現場報道，在2018全球區塊鏈精英峰會上，OK資本投研負責人、OK區塊鏈工程院首席研究員周子涵進行以《從區塊鏈行業結構變遷 尋找最優投資機會》的現場演講，她指出：區塊鏈技術從來不以多中心化為目的，多中心化要實現的是自信任。很多行業中的信任問題導致行業信任成本增加、協作效率下降。我們將所有創建資產、交易資產，包括如何懲罰獎勵的規則用代碼化的手段記錄在公開透明的地方，接下來就產生了新興、流通性強的資產，也會改變全球生產關系，我們對于區塊鏈的認知正不斷升級。現在的區塊鏈還處于初級階段，我們要特別強調，并不是要用統一的模型對于區塊鏈項目進行評判。OK資本對項目從通用底層設施&中間件、垂直行業底層設施、垂直行業應用三大方面進行投資標準審核。[2018/4/28]

EdgeCEOPaulPuey在一封電子郵件中說，Ledger和BRD已經發布了代碼更改以防止攻擊發生，并向ZenGo支付了未公開的bug賞金，而Edge正在進行“重大重構”以解決該問題，Edge首席執行官PaulPuey在一封電子郵件中表示。

金色財經現場報道 EOSIO DAWN3.0面世:金色財經現場報道，4月6日晚間，備受矚目的EOS.io香港見面會如期舉辦，會上發布了EOSIO Dawn 3.0，此預發布版本代表著即將在2018年6月發布的EOSIO 1.0道路上的一個重要里程碑。為了使EOSIO成為構建區塊鏈應用程序的最強大平臺。[2018/4/7]

前比特幣開發商，RBF的建筑師彼得·托德說，這種黑客利用了某些錢包如何處理未經確認的交易的已知漏洞，包括但不限于RBF。

工作原理：攻擊者將資金發送給預定的受害者，并將費用定得足夠低，幾乎可以保證交易不會收到確認。對于易受攻擊的錢包，此未完成的交易將反映為收件人的帳戶余額的增加，可能導致某些受害者錯誤地認為已確認了該未完成的交易。然后，攻擊者通過使用RBF將接收者更改為他們控制的地址，以ZenGo的術語“取消”待處理的交易。當受害者意識到交易實際上已被取消時，他將交付貨物。

需要明確的是：在RBF之前可能會發生類似的攻擊，但是在錢包提供商沒有采取適當預防措施的情況下，付款方式突顯了這種風險。

惡意行為者可以利用受害人陳述的余額與實際余額之間的這種差異，誘使人們在不支付費用的情況下提供商品或服務，但所花的費用很少。從這個意義上講，缺陷在于錢包的UX和UI設計。

雙重麻煩？

ZenGo的研究人員說，如果黑客可以誘騙一個人相信他們已經收到付款，同時又保持對比特幣的控制權，那么這就是雙花。其他人對此術語的使用提出異議。

“您必須確定雙重支出的定義是什么。多數不是巨魔的人會說，雙倍支出是指您有一筆已確認的交易因某種原因而無效并花費在另一筆已確認的交易上，”保管公司Casa的首席技術官JamesonLopp說道。

本質上，這種攻擊利用了錢包顯示未確認交易的方式。從這個意義上講，這種攻擊并沒有破壞比特幣代碼的運行方式。

洛普說：“區塊鏈的全部目的是防止雙重支出問題。”“它可以追溯到原始的Satoshi白皮書，該白皮書說，雙花的解決方案是擁有許多人正在檢查的分布式分類帳。”

您唯一可以依靠的是已開采的交易

0xB10C說，與比特幣進行交易的一般經驗法則是，永遠不要信任少于六個確認的交易。包括Todd，Lopp和BRDCTOSamuelSutch在內的許多開發人員都重申了這一點。如果此漏洞利用得以實現，那么受害者至少應承擔部分責任。

“您唯一可以依靠的是已經開采的交易，”托德說。

從這個意義上講，Sutch將BigSpender稱為“次要錯誤”和“人為的”，但也值得修復并為此付出賞金。Sutch說，BRD最近通過了500萬用戶。

洛普說：“更多的錢包開發人員需要知道他們的用戶并不了解其內在區別。”從安全的角度來看，許多人甚至都不知道已確認和未確認之間的區別。因此，開發人員有責任建立更好的用戶體驗，這樣他們就不會被諸如此類的事情所迷惑和欺騙。”

為此，Ledger更新了錢包顯示待處理交易的方式。如果用戶不確定使用塊瀏覽器“檢查交易狀態”。Ledger的首席技術官CharlesGuillemet在電子郵件中說：“今天的銀行無法進行這種驗證。”

雙重視野

更新錢包以清楚地顯示RBF交易期間發生的事情對于每個參與人員都是一件好事。但是，ZenGo的研究人員發現，存在第二種攻擊，該攻擊遵循上述相同的方案，并且無論受害者是否知道交易，都可能永久禁用錢包。

在這種情況下，攻擊者再次通過向受害者的錢包發送重復交易來人為地虛增受害者的余額。這可以在未經受害者同意的情況下完成。通過在確認交易之前重新路由交易，受害者的錢包余額和實際資金再次分離，從而使他們的錢包無法使用。更糟糕的是，攻擊可能同時影響多個錢包。

從本質上講，這是拒絕服務攻擊，阻止人們使用錢包。

Ohayon說：“如果錢包的硬幣選擇算法從這筆不存在的交易中選擇資金，這也會使其他種類的發送嘗試失效。”用Sutch的話來說，這些錢包是“磚狀的”。“這帶來了極大的不便。”

Sutch說，BRD在收到警報后將漏洞作為公司的首要任務。他說，奇怪的是，它在解決一個不相關的問題時設法修復了該錯誤。

ZenGo的安全性研究提出的問題并未被團隊測試的錢包所隔離。在絕大多數的Bitcoin錢包都能夠接收RBF交易，其中許多人背后的公司是“資源約束”，Sutch說，并不能立即提供修補程序。

Lopp說，在Casa上啟用RBF功能時，他將系統配置為在確認之前不顯示這些類型的交易，這在行業中是非標準的。他說：“默認參數將顯示這些交易。”

Tags：區塊鏈比特幣EOSEDG藝術幣區塊鏈比特幣今日價格行情新浪NEOSledger錢包官網下載

火幣交易所