Баг в приложениях для хранения цифровых активов позволяет преступникам подменять неподтвержденные транзакции своими и делать кошельки пользователей неисправными.
Команда экспертов из компании ZenGo обнаружила баг «BigSpender» во многих кошельках для хранения криптовалюты, таких как Ledger Live, Edge, BreadWallet. Ошибка позволяет хакерам красть биткойн и другие монеты пользователей, передает Research and markets.
В некоторых кошельках есть функция, которая позволяет пользователям заменить исходящую, неподтвержденную транзакцию на новую, но с другой комиссией. Благодаря этой особенности держатели могли заплатить майнерам более высокую сумму за перевод криптовалюты, чтобы те быстрее подтвердили операцию. В то же время это стало лазейкой для хакеров.
Для кражи криптовалюты сначала они должны заменить транзакцию на другую, но с крайне низкой комиссией. Это станет гарантией того, что перевод криптовалюты не получит подтверждения. Затем хакеры замещают находящуюся в режиме ожидания транзакцию на свою, ведущую на подконтрольный им кошелек. В итоге средства уходят преступникам, но при этом приложение пользователя показывает, что монеты будто бы были доставлены.
Баг дает хакерам еще одну возможность. Они могут заспамить адрес пользователя множеством фейковых транзакций, чтобы появилось критическое расхождение между реальным и отображаемым балансом. В итоге кошелек будет невозможно использовать. Уточняется, что приложения Breadwallet и Ledger Live уже устранили уязвимость.
13 июля хакеры взломали криптовалютный кошелек индийской криптобиржи Cashaa и вывели с него 336 биткойнов на сумму в $3,1 млн. Компания сообщила об инциденте в департамент по расследованию киберпреступлений полиции Дели и другим торговым площадкам.
Делитесь вашим мнением об этой новости в комментариях ниже.
Криптовалюта
Автор: btcdesk