Onderzoekers van het Israëlische ZenGo hebben alle bitcoin gebruikers gewaarschuwd voor een nieuwe kwetsbaarheid in een aantal populaire bitcoin wallets.
Drie grote wallets
Het gaat om bitcoin transacties vanuit drie bekende bitcoin wallets. Deze transacties waren kwetsbaar voor een double spend aanval, vandaar dat deze kwetsbaarheid BigSpender genoemd wordt. Tot deze conclusie kwamen onderzoekers van het in Tel Aviv gevestigde bitcoinbedrijf ZenGo. Zij hebben negen wallets getest maar verwachten dat meer wallets hier last van kunnen hebben.
Ledger Live, Edge en BRD hebben inmiddels maatregelen getroffen nadat hun beveiligingsteams gewaarschuwd zijn door ZenGo.
Twee keer uitgeven
BigSpender stelt de aanvaller in staat om de walletgebruiker te laten geloven dat er een betaling is ontvangen, terwijl deze in feite is vervangen door de afzender. De exploit zou kunnen voorkomen dat de eigenaar van de wallet toegang krijgt tot zijn coins. Er moet gezegd worden dat niet iedereen het eens is voer de aard van de kwetsbaarheid.
‘De kern van BigSpender is dat kwetsbare wallets niet zijn voorbereid op de optie dat een transactie kan worden geannuleerd en impliciet aannemen dat deze uiteindelijk zal worden bevestigd,’ schreef ZenGo’s senior software engineer, Oded Leiba.
‘Deze nalatigheid heeft vele gezichten. In de eerste plaats wordt het saldo van een gebruiker bij een inkomende transactie verhoogd, terwijl het niet wordt bevestigd en wordt het niet verlaagd als de transactie dubbel wordt uitgegeven en dus effectief wordt geannuleerd.’
Veel gebruikers
Ledger en BRD zetten vraagtekens bij de harde taal van de onderzoekers van ZenGo.
‘Er worden geen echte dubbele uitgaven gedaan,’aldus Ledger. ‘De crypto’s blijven veilig. De weergave van ontvangen transacties kunnen wel misleidend zijn’.
ZenGo vindt het belangrijk dat BigSpender aan het licht komt, want dit treft de meest populaire wallets.
‘Het betekent niet dat er geen andere kwesties zijn of dat andere wallets niet worden blootgesteld aan de BigSpender-aanval,’ zegt Ohayon, directeur van ZenGo. ‘Dit kan leiden tot dat je je crypto niet kunt besteden en het feit dat dit op zo’n grote schaal gebeurt, zorgt ervoor dat wij dit ernstig vinden.’
Blijven innoveren en investeren
‘Hacks gebeuren constant. Beveiliging is een voortdurende strijd die wordt gevoerd door de industrie en die niet kan worden gewonnen door een enkele speler of een enkel product, laat staan een versie-update. Om massale adoptie mogelijk te maken is het van belang dat de portemonnee zoveel mogelijk investeert in onderzoek en beveiliging, ook moet er geïnvesteerd wotden in productontwikkeling en diensten.’