新的研究發現,可能會誤用一種標準的比特幣交易方式來實現雙倍支出。
錢包初創公司ZenGo的區塊鏈偵探發現了一個漏洞,該漏洞至少影響了三個主要的競爭加密錢包-LedgerLive,Edge和Breadwallet-甚至可能更多。
該漏洞被總部位于特拉維夫的公司稱為BigSpender,它使黑客能夠將用戶的資金花費雙倍,并可能阻止用戶再次使用其錢包。它通過利用某些錢包的處理方式來處理比特幣的按需收費功能,該功能具有故障保護功能,使用戶能夠將未經確認的交易與費用較高的交易進行交換。
ZenGo首席執行官OurielOhayon在一封電子郵件中說:“可能會導致重大的財務損失,并在某些情況下使受害者的錢包完全無法使用,而受害者無法保護自己。”“因此,這可以看作是嚴重程度很高的攻擊。”
金色財經現場報道 ChainPlus.One聯合創始人曹明修:區塊鏈尚未達到成熟應用場景:金色財經現場報道,在“2018聯盟鏈的未來暨瑞鏈科技區塊鏈產品發布會”上,在現場問答環節中,ChainPlus.One聯合創始人曹明修指:從應用層項目的數量上而言,中國一年的項目數量是其他國家加在一起都不能相比的,但質量上而言,最好的1%項目出自中國的卻并不多,來自中國的資金確實占據了世界上最頂尖20%-30%的比重。區塊鏈尚未達到一個成熟的應用場景,比特幣或者區塊鏈在經濟學做出的嘗試比較少,還是很古典的、基于密碼學的東西。比特幣沒有基于博弈的東西,而是假設了多中心化不存在任何通脹,它還假設了通脹是不好的,但這兩種假設具有比較強的主觀色彩。[2018/5/31]
像其他具有相關漏洞的可選比特幣功能一樣,RBF功能已成為用戶來回傳遞價值的標準方式。它被開發者社區推銷并接受,作為比特幣人通過支付更多費用來規避緩慢確認時間的一種方式。
金色財經獨家分析 比特幣和比特幣現金正統之爭延續:金色財經獨家分析,美國傳奇基金經理人,億萬富豪Mike Novogratz近日表示支持BTC,它才是中本聰2008年比特幣白皮書中描述的比特幣,而比特幣現金不是。比特幣和比特幣現金的爭吵由來已久,之前比特幣社區歷經數年的擴容爭吵,最終導致了比特幣現金(Bitcoin Cash)網絡的誕生,這一通過硬分叉方式得來的產物,旨在通過鏈上(onchain)的方式對網絡進行擴容,其社區成員認為,比特幣現金將延續中本聰所提出的“點對點電子現金”的愿景。而由中本聰發起的比特幣項目則在Core開發團隊的帶領下,走上了支付通道(如閃電網絡)等鏈下(offchain)的擴容道路。因此比特幣和比特幣現金誰最符合中本聰愿景的“正統之爭”一直存在。[2018/5/8]
匿名的比特幣研究人員0xB10C表示,從一開始,人們就擔心盡管RBF功能已集成在比特幣系統的協議層中,但并未得到比特幣錢包的充分支持。“ZenGo表明,用戶可能被欺騙,以為他沒有收到比特幣。我相信這是新穎的。我至少以前沒有聽說過,”他說。
金色財經現場報道 beecool朱潘:區塊鏈商業價值關鍵在生態:金色財經現場報道,在全球區塊鏈世界巡回高峰會議大灣區站“區塊鏈科技如何服務實體經濟”圓桌論壇上,論壇嘉賓以“區塊鏈科如何服務實體經濟”展開討論,beecool創始人朱潘說:區塊鏈的商業價值并不在于其本身,要重點應用區塊鏈建立商業生態。帶動經濟先要帶動生態,現在很多行業正在發TOKEN,2%才在這個生態里面,只有生態真正建立起來,才能實現商業共識,激勵共識,經濟共識。[2018/4/23]
該公司測試了九種不同的錢包,包括LedgerLive,Trust錢包,Exodus,Edge,Bread,Coinbase,BlockstreamGreen,Blockchain和AtomicWallet。在測試的對象中,發現有三個很容易受到理論攻擊。
金色財經現場報道 上海自貿區金融研究室劉斌:區塊鏈在金融領域有助于欺詐識別和風險防范:金色財經現場報道,在今天舉辦的2018金融科技上海峰會暨區塊鏈世界論壇上,中國(上海)自貿區研究院金融研究室主任劉斌在演講中指出:“在金融領域,區塊鏈可以起到欺詐識別和風險防范、消除雙重記賬,或處理來自同一事故的多重索賠、通過數字證書創建所有權,減少偽造。”[2018/4/19]
Ohayon說:“我們還沒有測試所有的錢包,但是如果涉及到其中三個最大的錢包,那么可能還會更多。”ZenGo將發現的結果通知了公司,并給了他們90天的時間修復漏洞。
EdgeCEOPaulPuey在一封電子郵件中說,Ledger和BRD已經發布了代碼更改以防止攻擊發生,并向ZenGo支付了未公開的bug賞金,而Edge正在進行“重大重構”以解決該問題,Edge首席執行官PaulPuey在一封電子郵件中表示。
金色財經訊:前豆丁網CTO、比特幣交易平臺OKCoin創始人徐明星在完成對新三板掛牌企業華證聯的收購,并于8月份正式出任董事長后,燃起了“第一把火”。10月24日,華證聯發布掛牌之后的第一次股票發行方案,擬向非特定對象以2.30元-2.90元/股的價格發行不超過340萬股,募資不超過986萬元。[2017/10/27]
前比特幣開發商,RBF的建筑師彼得·托德說,這種黑客利用了某些錢包如何處理未經確認的交易的已知漏洞,包括但不限于RBF。
工作原理:攻擊者將資金發送給預定的受害者,并將費用定得足夠低,幾乎可以保證交易不會收到確認。對于易受攻擊的錢包,此未完成的交易將反映為收件人的帳戶余額的增加,可能導致某些受害者錯誤地認為已確認了該未完成的交易。然后,攻擊者通過使用RBF將接收者更改為他們控制的地址,以ZenGo的術語“取消”待處理的交易。當受害者意識到交易實際上已被取消時,他將交付貨物。
需要明確的是:在RBF之前可能會發生類似的攻擊,但是在錢包提供商沒有采取適當預防措施的情況下,付款方式突顯了這種風險。
惡意行為者可以利用受害人陳述的余額與實際余額之間的這種差異,誘使人們在不支付費用的情況下提供商品或服務,但所花的費用很少。從這個意義上講,缺陷在于錢包的UX和UI設計。
雙重麻煩?
ZenGo的研究人員說,如果黑客可以誘騙一個人相信他們已經收到付款,同時又保持對比特幣的控制權,那么這就是雙花。其他人對此術語的使用提出異議。
“您必須確定雙重支出的定義是什么。多數不是巨魔的人會說,雙倍支出是指您有一筆已確認的交易因某種原因而無效并花費在另一筆已確認的交易上,”保管公司Casa的首席技術官JamesonLopp說道。
本質上,這種攻擊利用了錢包顯示未確認交易的方式。從這個意義上講,這種攻擊并沒有破壞比特幣代碼的運行方式。
洛普說:“區塊鏈的全部目的是防止雙重支出問題。”“它可以追溯到原始的Satoshi白皮書,該白皮書說,雙花的解決方案是擁有許多人正在檢查的分布式分類帳。”
您唯一可以依靠的是已開采的交易
0xB10C說,與比特幣進行交易的一般經驗法則是,永遠不要信任少于六個確認的交易。包括Todd,Lopp和BRDCTOSamuelSutch在內的許多開發人員都重申了這一點。如果此漏洞利用得以實現,那么受害者至少應承擔部分責任。
“您唯一可以依靠的是已經開采的交易,”托德說。
從這個意義上講,Sutch將BigSpender稱為“次要錯誤”和“人為的”,但也值得修復并為此付出賞金。Sutch說,BRD最近通過了500萬用戶。
洛普說:“更多的錢包開發人員需要知道他們的用戶并不了解其內在區別。”從安全的角度來看,許多人甚至都不知道已確認和未確認之間的區別。因此,開發人員有責任建立更好的用戶體驗,這樣他們就不會被諸如此類的事情所迷惑和欺騙。”
為此,Ledger更新了錢包顯示待處理交易的方式。如果用戶不確定使用塊瀏覽器“檢查交易狀態”。Ledger的首席技術官CharlesGuillemet在電子郵件中說:“今天的銀行無法進行這種驗證。”
雙重視野
更新錢包以清楚地顯示RBF交易期間發生的事情對于每個參與人員都是一件好事。但是,ZenGo的研究人員發現,存在第二種攻擊,該攻擊遵循上述相同的方案,并且無論受害者是否知道交易,都可能永久禁用錢包。
在這種情況下,攻擊者再次通過向受害者的錢包發送重復交易來人為地虛增受害者的余額。這可以在未經受害者同意的情況下完成。通過在確認交易之前重新路由交易,受害者的錢包余額和實際資金再次分離,從而使他們的錢包無法使用。更糟糕的是,攻擊可能同時影響多個錢包。
從本質上講,這是拒絕服務攻擊,阻止人們使用錢包。
Ohayon說:“如果錢包的硬幣選擇算法從這筆不存在的交易中選擇資金,這也會使其他種類的發送嘗試失效。”用Sutch的話來說,這些錢包是“磚狀的”。“這帶來了極大的不便。”
Sutch說,BRD在收到警報后將漏洞作為公司的首要任務。他說,奇怪的是,它在解決一個不相關的問題時設法修復了該錯誤。
ZenGo的安全性研究提出的問題并未被團隊測試的錢包所隔離。在絕大多數的Bitcoin錢包都能夠接收RBF交易,其中許多人背后的公司是“資源約束”,Sutch說,并不能立即提供修補程序。
Lopp說,在Casa上啟用RBF功能時,他將系統配置為在確認之前不顯示這些類型的交易,這在行業中是非標準的。他說:“默認參數將顯示這些交易。”
Tags:比特幣區塊鏈EDGEDGE比特幣行情圖分析區塊鏈工程專業學什么女生比較好pledge幣最新消息pledge幣目前進展
內容紀要: ETH以太坊在昨天走勢中出現前天走勢中出現長上影線吊頸線,今天走勢中出現一定的幅度的上漲,上漲不超過昨天上影線的最高點,在短期走勢中出現一定的利空走勢、目前觀點還是一樣先下跌后上漲.
1900/1/1 0:00:00:持幣者團隊以技術分析為中心,客觀分析幣市,實事求是。絕不弄虛作假,注重實戰交易技巧,波段抓取,趨勢現貨布局,超短線合約交易,合理資金投資配比,旨在為幣友們提供技術分析服務,努力打造自身品牌.
1900/1/1 0:00:00行情不在于大小,抓住即可,利潤不在于多少,積累便是。別總奢望暴風雨,沒有準備好的追求有時候就是災難,有多少人是每天有計劃的交易,有多少人是每回有反省的成長,太多扛單的英雄事跡,太多鎖倉的光輝歲月.
1900/1/1 0:00:00鏈聞消息,BTC.com首席執行官莊重Jason在「CryptoTonight-TalktoChun」活動中針對金融產品及加密礦業相關話題表示,大型礦池在幾年前還保管著很多礦工未提取的幣.
1900/1/1 0:00:00尊敬的BithumbGlobal用戶:為慶祝XTP正式上線BithumbGlobal,我們將舉行“充值&交易&買入搶350,000XTP空投”福利活動.
1900/1/1 0:00:00走過風雨,才懂人生,風雨是抵達幸福的階梯,打不敗你的都將使你更圓滿,接受磨難,遇見最好的自己,雨果說,“極端的痛苦,像極端的歡樂一樣不能經久,因為它過于猛烈,”風雨也是短暫的,平靜地對待困難.
1900/1/1 0:00:00