افشای آسیب‌ پذیری کیف پول های مهم بیت کوین نسبت به حمله دوبار خرج کردن

توسعه دهندگان کیف پول ارز دیجیتال بدون کلید زن‌گو (ZenGo) امروز ۲ ژوئیه ۲۰۲۰ گزارشی را منتشر کردند که در آن به آسیب‌ پذیری نسبت به حمله دوبار خرج کردن (double-spending attacks) به نام بیگ اسپندر (BigSpender) در والت‌هایی مانند Ledger Live، Bread و Edge اشاره کردند. در بدترین حالت این مشکل می‌تواند دارایی کاربران را غیرقابل استفاده کند. در ادامه این مطلب از کوین نیک بیشتر در مورد آسیب‌ پذیری کیف پول های مهم بیت کوین نسبت به حمله دوبار خرج کردن صحبت می‌کنیم.

با وجود اینکه بخشی از این مشکل تا به حال رفع شده است اما برخی از کیف پول‌های نام ‌برده شده همچنان تا حدودی در زمینه حمله دوبار خرج کردن آسیب‌پذیر هستند.

دوبار خرج کردن یک قابلیت بالقوه در ارزهای دیجیتال است که به کاربران مخرب اجازه می‌دهد که یک مقدار معین ارز را دو یا چند بار خرج کنند.

برای انجام این کار، کلاهبرداران معامله‌ای را با حداقل هزینه ارسال می‌کنند و سپس بلافاصله با افزایش هزینه آن را لغو می‌کنند (بنابراین ماینرها برای پردازش زودتر معامله با هزینه بالاتر انگیزه پیدا می‌کنند) و دارایی را به آدرس دیگری می‌فرستند.

بر اساس گزارش زن‌گو کیف پول‌های Ledger و Bread در زمان آزمایش روی لغو احتمالی معاملات حساب نکرده بودند. گذشته از این آن‌ها فقط به صورت بصری بودجه اضافی را بدون صبر کردن واریز می‌کردند.

حمله دوبار خرج کردن در کیف پول‌های بیت کوین

این مطلب راهم مطالعه کنید: کیف پول های سخت افزاری بسیار قوی و ایمن عمل می‌کنند

کارشناسان توضیح می‌دهند که مسئله اصلی در موضوع آسیب پذیری بیگ اسپندر این است که کیف پول‌های آسیب پذیر برای لغو یک معامله طراحی نشده‌اند و به طور ضمنی فرض می‌کنند معامله انجام شده است.

در کیف پول لجر این مشکل را پاک کردن حافظه کش و تنظیم مجدد شبکه این مشکل حل شد، اما در کیف پول Bread حل این مشکل می‌تواند بسیار دشوار باشد.

در این گزارش آمده است که این مشکل در کیف پول Edge خیلی ظریف‌تر بود چرا که تنها به صورت یک سری معاملات معلق در حساب افزایش می‌یابد و با کلیک روی گزینه تنظیم مجدد « Resync» مشکل حل می‌شود.

در برخی از کیف پول‌های آسیب پذیر، حل این مشکل بسیار سخت و تا حدی غیرممکن است. حتی نصب مجدد والت هم باعث نمی‌شود دوباره بتواند با شبکه بیت کوین همگام‌سازی شود و صورت حساب درست را نشان دهد.

زن‌گو هشدار می‌دهد که اگر امکان حل این مشل وجود نداشته باشد حمله (denial-of-service) دائمی خواهد شد.

این شرکت اعلام کرد ۹۰ روز پیش به این کیف پول‌های آسیب پذیر در مورد این آسیب‌پذیری هشدار داده بود، اما فقط برخی از آن‌ها تصمیم گرفتند این مشکل را به طور کامل حل کنند.

طبق گزارش زن‌گو، والت Bread این مشکل را در نسخه ۴.۳ برای آی او اس و اندروید حل کرده است. همچنین والت Ledger هم با تصدیق این مشکل فقط نوع تقویت شده این حمله را در نسخه ۲.۶ حل کرده است. والت Edge هم ضمن اذعان به وجود این مشکل اعلام کرد در آینده نزدیک این مشکل را رفع خواهد کرد.

مدیر فناوری والت Ledger در گفتگو با Decrypt تاکید که زن‌گو نسبت به این مشکل به آن‌ها اخطار داده بود اما او عقیده دارد، بیگ اسپندر «BigSpender» بیشتر یک ترفند هوشمندانه است تا یک آسیب پذیری به معنای سنتی. او همچنین تایید کرد که رابط کاربری کیف پول سخت افزاری لجر تحت تاثیر این مشکل قرار ندارد.

منبع: decrypt