La vulnerabilidad “BigSpender” está afectando a las principales carteras de Bitcoin

Una startup de billeteras de criptomonedas móviles ha descubierto los ataques de doble gasto en algunas de las billeteras criptográficas más populares

O una vez más, ZenGo se ha presentado para resaltar una vulnerabilidad que afecta a algunas de las carteras de bitcoins más populares, como la cartera de hardware Ledger, BRD y Edge. Hace solo un par de meses escribí sobre cómo ZenGo construyó una red de prueba para resaltar la vulnerabilidad que afecta a la mayoría de las billeteras de aplicaciones descentralizadas (DApp).

Ahora, el inicio de la billetera criptográfica ha revelado una vulnerabilidad de doble gasto en billeteras criptográficas, denominada BigSpender, que conduce a un saldo incorrecto en su billetera ya que las transacciones no confirmadas se tienen en cuenta en su total equilibrar. El ataque BigSpender básicamente permite que un atacante cancele una transacción de Bitcoin, mientras aún se refleja en el saldo de la billetera vulnerable de la víctima.

Este tipo de vulnerabilidad es bastante común en los mercados peer-to-peer como Craigslist. Alguien puede engañarte para que pienses que te han enviado una transacción de dinero falsa por un artículo que estás intentando vender. Sin embargo, si abre su cuenta bancaria, encontrará que el dinero nunca llegó. BigSpender aprovecha esta vulnerabilidad, pero para criptomonedas.

Utiliza una función en el protocolo bitcoin llamada Reemplazar por tarifa, que le permite enviar algunos bitcoins con una tarifa de transacción baja seguida de la misma transacción, pero con una tarifa de transacción más alta. La transacción original se cancela y se reemplaza por la nueva. Al hacer esto, los mineros procesan primero las transacciones con tarifas de transacción más altas.

El problema surge porque algunas de las carteras de criptomonedas dan por sentadas las transacciones no confirmadas con demasiada rapidez. Si bien el saldo en su billetera representa que ha recibido bitcoins cuando en realidad el remitente canceló la transacción anterior y la reemplazó por otra, enviada a otra billetera que ellos controlan. La cancelación de la transacción aparentemente no tiene ningún efecto en el saldo de su billetera.

Otra forma en la que un jugador infame puede engañarte es enviándote múltiples transacciones falsas: podrían iniciar diez transacciones por valor de 0.1 BTC cada una, el destinatario vería un saldo de 1 BTC aunque no haya recibido nada. Este es un ejemplo de un “ ataque de amplificación ” que utiliza la vulnerabilidad BigSpender.

Esto podría conducir al tercer tipo de ataque BigSpender, donde sus activos criptográficos podrían congelarse usando la “ denegación de servicio ” del ataque DDoS. Cuando una víctima intenta enviar algunos bitcoins después de recibir muchas transacciones falsas, es posible que la billetera esté intentando enviar activos criptográficos que nunca llegaron, lo que resulta en una falla en la transacción.

BigSpender, en sí mismo, no es una herramienta de piratería; no le permite robar los fondos, pero se usa más como un mecanismo confuso para la billetera objetivo. En lugar de actualizar el saldo de la billetera rápidamente con transacciones no confirmadas, la billetera debe etiquetarla con un letrero de “Pendiente” para advertir a los clientes. Además de esto, las transacciones que se han reemplazado mediante Reemplazar por tarifa también deben etiquetarse como fallidas.

ZenGo ha informado a los tres proveedores de billeteras sobre la vulnerabilidad hace tres meses; según lo informado por Tech Crunch , Ledger y BRD han otorgado recompensas por errores a ZenGo. BRD ya ha publicado una solución mientras Edge y Ledger están trabajando en soluciones (tabla anterior). Mientras tanto, ZenGo ha lanzado una herramienta de código abierto para probar su billetera bitcoin contra la vulnerabilidad.

Manténgase informado sobre el contenido que importa: únase a mi lista de distribución