財經狐：研究人員發現比特幣錢包中的缺陷可能會被雙重利用_比特幣:pledge幣釋放時間

新的研究發現，可能會誤用一種標準的比特幣交易方式來實現雙倍支出。

錢包初創公司ZenGo的區塊鏈偵探發現了一個漏洞，該漏洞至少影響了三個主要的競爭加密錢包-LedgerLive，Edge和Breadwallet-甚至可能更多。

該漏洞被總部位于特拉維夫的公司稱為BigSpender，它使黑客能夠將用戶的資金花費雙倍，并可能阻止用戶再次使用其錢包。它通過利用某些錢包的處理方式來處理比特幣的按需收費功能，該功能具有故障保護功能，使用戶能夠將未經確認的交易與費用較高的交易進行交換。

ZenGo首席執行官OurielOhayon在一封電子郵件中說：“可能會導致重大的財務損失，并在某些情況下使受害者的錢包完全無法使用，而受害者無法保護自己。”“因此，這可以看作是嚴重程度很高的攻擊。”

金色財經挖礦數據播報：ETH今日全網算力上漲4.59%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力133.861EH/s，挖礦難度18.60T，目前區塊高度663436，理論收益0.00000742/T/天。

ETH全網算力300.104TH/s，挖礦難度3779.90T，目前區塊高度11546363，理論收益0.00755269/100MH/天。

BSV全網算力0.738EH/s，挖礦難度0.11T，目前區塊高度667623，理論收益0.00121993/T/天。

BCH全網算力1.743EH/s，挖礦難度0.23，目前區塊高度667916，理論收益0.00051647/T/天。[2020/12/29 15:58:14]

像其他具有相關漏洞的可選比特幣功能一樣，RBF功能已成為用戶來回傳遞價值的標準方式。它被開發者社區推銷并接受，作為比特幣人通過支付更多費用來規避緩慢確認時間的一種方式。

金色財經挖礦數據播報 | BSV今日全網算力上漲1.83%:金色財經報道，據蜘蛛礦池數據顯示：

ETH全網算力173.381TH/s，挖礦難度2176.78T，目前區塊高度9964529，理論收益0.00810224/100MH/天。

BTC全網算力111.943EH/s，挖礦難度15.96T，目前區塊高度628081，理論收益0.00001575/T/天。

BSV全網算力1.499EH/s，挖礦難度0.20T，目前區塊高度632675，理論收益0.00060055/T/天。

BCH全網算力1.817EH/s，挖礦難度0.25T，目前區塊高度632855，理論收益0.00049544/T/天。[2020/4/29]

匿名的比特幣研究人員0xB10C表示，從一開始，人們就擔心盡管RBF功能已集成在比特幣系統的協議層中，但并未得到比特幣錢包的充分支持。“ZenGo表明，用戶可能被欺騙，以為他沒有收到比特幣。我相信這是新穎的。我至少以前沒有聽說過，”他說。

動態 | 360“安全大腦”結合區塊鏈等新興技術 獲財經中國創新研發獎:據中新經緯消息，由中國新聞社旗下財經媒體中新經緯、中國產業發展促進會聯合主辦的“財經中國2019V峰會?致敬創新”16日在北京舉行。會上，360“安全大腦”獲得財經中國2019創新研發獎。據了解，“安全大腦”是一個分布式智能網絡安全防御系統，它綜合利用了人工智能、大數據、云計算、 IoT智能感知、區塊鏈等新技術，保護國家、國防、關鍵基礎設施、社會、城市及個人的網絡安全。“安全大腦”由360集團董事長兼 CEO周鴻祎在2018年5月召開的第二屆世界智能大會上首次提出，并在同月正式發布。[2019/1/17]

該公司測試了九種不同的錢包，包括LedgerLive，Trust錢包，Exodus，Edge，Bread，Coinbase，BlockstreamGreen，Blockchain和AtomicWallet。在測試的對象中，發現有三個很容易受到理論攻擊。

金色財經現場報道 Patrik Baron：今后會有更多公司選擇ICO而非IPO:Ambisafe的CEO：Patrik Baron在2018 Global Token Galaxy演講中提到，今后會有更多公司選擇ICO而不是IPO的融資方式。他提到，并不是所有公司都需要發幣，比如像可口可樂，這些公司的股份或許在未來會在分布式賬本上被跟蹤及交易，每一股都會被一枚代幣所代表。但更多創業公司會關注到ICO這種創新性的融資方式，并將ICO用于質量更高的項目融資上。他相信，現在還不是ICO最頂峰的時候，ICO將會在不遠的將來爆發，但質量會更高。[2018/5/27]

Ohayon說：“我們還沒有測試所有的錢包，但是如果涉及到其中三個最大的錢包，那么可能還會更多。”ZenGo將發現的結果通知了公司，并給了他們90天的時間修復漏洞。

金色財經現場報道 Distributed Business Application的創始人兼CEO黃連金：比特幣的匿名性是偽匿名:金色財經前方記者實時報道，4月12日舉辦的第二屆全球金融科技與區塊鏈中國峰會2018上，Distributed Business Application的創始人兼CEO黃連金表示，比特幣交易需要1個小時才能確認，比特幣的匿名性是偽匿名，可以通過大數據對交易地址進行推斷。[2018/4/12]

EdgeCEOPaulPuey在一封電子郵件中說，Ledger和BRD已經發布了代碼更改以防止攻擊發生，并向ZenGo支付了未公開的bug賞金，而Edge正在進行“重大重構”以解決該問題，Edge首席執行官PaulPuey在一封電子郵件中表示。

前比特幣開發商，RBF的建筑師彼得·托德說，這種黑客利用了某些錢包如何處理未經確認的交易的已知漏洞，包括但不限于RBF。

工作原理：攻擊者將資金發送給預定的受害者，并將費用定得足夠低，幾乎可以保證交易不會收到確認。對于易受攻擊的錢包，此未完成的交易將反映為收件人的帳戶余額的增加，可能導致某些受害者錯誤地認為已確認了該未完成的交易。然后，攻擊者通過使用RBF將接收者更改為他們控制的地址，以ZenGo的術語“取消”待處理的交易。當受害者意識到交易實際上已被取消時，他將交付貨物。

需要明確的是：在RBF之前可能會發生類似的攻擊，但是在錢包提供商沒有采取適當預防措施的情況下，付款方式突顯了這種風險。

惡意行為者可以利用受害人陳述的余額與實際余額之間的這種差異，誘使人們在不支付費用的情況下提供商品或服務，但所花的費用很少。從這個意義上講，缺陷在于錢包的UX和UI設計。

雙重麻煩？

ZenGo的研究人員說，如果黑客可以誘騙一個人相信他們已經收到付款，同時又保持對比特幣的控制權，那么這就是雙花。其他人對此術語的使用提出異議。

“您必須確定雙重支出的定義是什么。多數不是巨魔的人會說，雙倍支出是指您有一筆已確認的交易因某種原因而無效并花費在另一筆已確認的交易上，”保管公司Casa的首席技術官JamesonLopp說道。

本質上，這種攻擊利用了錢包顯示未確認交易的方式。從這個意義上講，這種攻擊并沒有破壞比特幣代碼的運行方式。

洛普說：“區塊鏈的全部目的是防止雙重支出問題。”“它可以追溯到原始的Satoshi白皮書，該白皮書說，雙花的解決方案是擁有許多人正在檢查的分布式分類帳。”

您唯一可以依靠的是已開采的交易

0xB10C說，與比特幣進行交易的一般經驗法則是，永遠不要信任少于六個確認的交易。包括Todd，Lopp和BRDCTOSamuelSutch在內的許多開發人員都重申了這一點。如果此漏洞利用得以實現，那么受害者至少應承擔部分責任。

“您唯一可以依靠的是已經開采的交易，”托德說。

從這個意義上講，Sutch將BigSpender稱為“次要錯誤”和“人為的”，但也值得修復并為此付出賞金。Sutch說，BRD最近通過了500萬用戶。

洛普說：“更多的錢包開發人員需要知道他們的用戶并不了解其內在區別。”從安全的角度來看，許多人甚至都不知道已確認和未確認之間的區別。因此，開發人員有責任建立更好的用戶體驗，這樣他們就不會被諸如此類的事情所迷惑和欺騙。”

為此，Ledger更新了錢包顯示待處理交易的方式。如果用戶不確定使用塊瀏覽器“檢查交易狀態”。Ledger的首席技術官CharlesGuillemet在電子郵件中說：“今天的銀行無法進行這種驗證。”

雙重視野

更新錢包以清楚地顯示RBF交易期間發生的事情對于每個參與人員都是一件好事。但是，ZenGo的研究人員發現，存在第二種攻擊，該攻擊遵循上述相同的方案，并且無論受害者是否知道交易，都可能永久禁用錢包。

在這種情況下，攻擊者再次通過向受害者的錢包發送重復交易來人為地虛增受害者的余額。這可以在未經受害者同意的情況下完成。通過在確認交易之前重新路由交易，受害者的錢包余額和實際資金再次分離，從而使他們的錢包無法使用。更糟糕的是，攻擊可能同時影響多個錢包。

從本質上講，這是拒絕服務攻擊，阻止人們使用錢包。

Ohayon說：“如果錢包的硬幣選擇算法從這筆不存在的交易中選擇資金，這也會使其他種類的發送嘗試失效。”用Sutch的話來說，這些錢包是“磚狀的”。“這帶來了極大的不便。”

Sutch說，BRD在收到警報后將漏洞作為公司的首要任務。他說，奇怪的是，它在解決一個不相關的問題時設法修復了該錯誤。

ZenGo的安全性研究提出的問題并未被團隊測試的錢包所隔離。在絕大多數的Bitcoin錢包都能夠接收RBF交易，其中許多人背后的公司是“資源約束”，Sutch說，并不能立即提供修補程序。

Lopp說，在Casa上啟用RBF功能時，他將系統配置為在確認之前不顯示這些類型的交易，這在行業中是非標準的。他說：“默認參數將顯示這些交易。”

Tags：比特幣EDGDGEEDGE比特幣市值占比判斷牛市pledge幣釋放時間Bridge Networkledger錢包官網中文版

TUSD