کیف پول هایی که کاربران را در معرض کلاه برداری قرار می‌دادند

وجود یک باگ فنی در سه کیف پول مطرح بیت کوین یعنی لجر لایو (Ledger Live) ، BRD و اج (Edge)، به کلاهبرداران اجازه دستبرد به دارایی‌های افراد توسط بیت کوین‌های دوباره خرج شده را می‌داد؛ به گونه‌ای که پیش از تأیید تراکنش، افراد تصور می‌کردند که بیت کوین خود را دریافت کرده‌اند.

0 177

باگی که در سه کیف پول شناخته شده بیت کوین وجود داشت، با ورود تراکنش های تایید نشده به تراز کیف پول‌های کاربران، به کلاهبرداران اجازه می‌داد تا با بیت کوین‌های دوباره خرج شده (دابل اسپند) آن‌ها را فریب دهند.

ترازهای غیر ‌قابل اعتماد کیف پول های بیت کوین

این باگ فنی این امکان را به مهاجمان و کلاهبرداران می‌دهد تا صاحبان این کیف پول‌ها را طوری فریب دهند که آن‌ها تصور کنند بیت کوین خود را دریافت کرده‌اند، در حالی که تراکنش هنوز تأیید نشده‌است.

پیش از این که بتوانیم یک تراکنش را انجام شده بدانیم، ضروری است که چندین ساعت صبر کنیم تا بلاک حاوی تراکنش به دفعات مورد تایید قرار گیرد و مطمئن شویم که تراکنش کاملاً برگشت نا‌پذیر است. هر‌چه تراکنشی تایید‌های بیشتری بگیرد، لغو یا تغییر آن با کارمزد‌های بیشتر دشوار‌تر می‌شود.

تمام افراد با‌سابقه و کار‌آزموده در حوزه بیت کوین پیش از این که تراکنشی را قطعی در نظر بگیرند تعداد تایید‌های آن را کنترل می‌کنند. اما کاربران جدید با مشاهده یک افزایش تراز حتی ساختگی در کیف پول خود می‌‌توانند به راحتی فریب بخورند.

بسیاری از کیف پول‌های مطرح بیت کوین مانند لجر لایو (Ledger Live) ، BRD و اج (Edge) تاکنون در معرض این آسیب‌پذیری قرار داشته‌اند.

ویژگی جایگزینی تراکنش‌ها با کارمزد بالا‌تر (Replace by Fee/RBF) در بیت کوین به این شکل عمل می‌کند که وقتی تراکنشی هنوز تایید نشده، می‌توان آن را با یک تراکنش دیگر با کارمزد بالا‌تر جایگزین کرد. ماینر‌ها نیز معمولاً تراکنش‌های با کارمزد بالا‌تر را می‌پذیرند و در نتیجه تراکنش قبلی به طور کل جایگزین می‌شود.

برخی از کیف پول‌ها برای پیاده سازی RBF با مشکل مواجه بودند که در نهایت به شکل‌گیری BigSpender که ترکیبی از آسیب‌هایی مانند حملات دابل اسپندینگ(حمله دوباره خرج کردن) و خرج چند‌باره می‌باشد انجامید. نام BigSpender نیز به همین موضوع اشاره دارد: امکانی که در اختیار مهاجمان قرار داده شده تا با خرج کردن چیزی بیش از دارایی واقعی‌شان به کلاهبرداری بپردازند.

نسخه 0.12 بیت کوین کور (Bitcoin Core) سیستم RBF را در بلاک چین خود به کار گرفت و به این ترتیب، این مسئولیت عملاً بر عهده کاربران قرار داده شد تا با در نظر گرفتن تعداد تأیید‌های یک تراکنش در مورد اعتماد یا عدم اعتماد به نهایی شدن تراکنش تصمیم‌گیری کنند.

پیامد این مشکل فنی این بود که تراز موجود در کیف پول‌های مطرح و شناخته شده دیگر نشان‌دهنده دارایی واقعی شخص نبود، بلکه فقط نمایشی از همه تراکنش‌های احتمالی و در دست بررسی بود.

تراکنش‌های بیت کوین با تعدادی از مراحل و وضعیت‌ها شناخته می‌شوند. تراکنش بیت کوین نیز مانند هر تراکنش دیگری حرکتی از مرحله آغازین به سمت مرحله نهایی، با تعدادی مراحل میانی است.

مرحله آغازین مربوط به وقتی است که یک کاربر تراکنشی را آغاز می‌کند. مرحله میانی به زمانی گفته می‌شود که تراکنش در استخر تراکنش‌ها منتظر اعتبار‌سنجی و تایید است. در نهایت زمانی که تراکنش تایید می‌شود می‌توانیم بگوییم این تراکنش به مرحله نهایی خود رسیده‌است.

زمانی که شخصی تراکنش جدیدی را با کارمزد بالا‌تر آغاز می‌کند تراکنش قبلی از مرحله میانی به مرحله آغازین باز می‌گردد. اما این کیف پول‌ها زمان محاسبه تراز حساب، مرحله میانی را به عنوان مرحله نهایی در نظر می‌گرفتند.

عدم به کار‌گیری درست ویژگی RBF در کیف پول‌ها، به کاربرانی که قصد سو استفاده داشته ‌باشند امکان انجام حملاتی مانند حملات دابل اسپندینگ، حملات محروم سازی از سرویس (DOS) و حملات امپلیفیکیشن (نوعی از حملات محروم سازی از سرویس از نوع غیر‌متمرکز و تقویت شده یا DDos) را می‌دهد.

حمله امپلیفیکیشن به حمله‌ای گفته می‌شود که در آن یک کلاهبردار مقدار کمی از بیت کوین را به دفعات متعدد ارسال می‌کند؛ تا جایی که شخص دریافت کننده تصور می‌کند مقدار زیادی بیت کوین را دریافت کرده‌است. برای مثال 100 تراکنش ناموفق به ارزش 5 دلار باعث می‌شود تا تراز نهایی حساب کیف پول شخص، مبلغ ساختگی 500 دلار را نشان بدهد. این نوع از حیله‌ها می‌توانند بیت کوینر‌های تازه کار را به سادگی فریب دهند.

سرویس دهندگان کیف پول باید مسئولیت رفع این مشکل را بر عهده بگیرند

این مشکل فنی در سه کیف پول ذکر شده برای اولین بار توسط یک کیف پول رمز ارز اسراییلی به نام زنگو (ZenGo) کشف و افشا شد. زنگو در گزارشی در این باره گفت:

در برخی از این کیف پول‌های آسیب‌پذیر جبران خسارات این چنینی بسیار دشوار یا گاهاً غیرممکن است.

زنگو ابتدا یک فرصت 90 روزه برای حل این معضل به این شرکت‌ها داد و پس از آن گزارشی را در این باره منتشر کرد. این شرکت اسراییلی اظهار داشت از لجر لایو و BRD بخاطر خسارت متحمل شده مبلغی را دریافت کرده‌است؛ در حالی که اج وجود معضل آسیب پذیری در کیف پولش را پذیرفته و وعده بر‌طرف کردن آن در آینده را داده‌است.

خلاصه اطلاعات مربوط به آسیب پذیری وال های بیت کوین؛ منبع: ZenGo
خلاصه اطلاعات مربوط به آسیب پذیری وال های بیت کوین؛ منبع: ZenGo

خلاصه اطلاعات مربوط به آسیب پذیری وال های بیت کوین؛ منبع: ZenGo

در حال حاضر BRD و لجر لایو در جهت حل این مشکل تغییراتی را در کد کیف پول خود ایجاد کرده‌اند اما اج هنوز اقدامی در این راستا انجام نداده‌است. بسیار مهم و ضروریست که کیف پول‌های بیت کوین از این اختلالات جزئی در بلاک چین این رمز ارز آگاهی کامل داشته و از به سرقت رفتن دارایی‌های کاربران جلو‌گیری کنند.

منبع: cryptobriefing.com

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.