کیف پول هایی که کاربران را در معرض کلاه برداری قرار میدادند
وجود یک باگ فنی در سه کیف پول مطرح بیت کوین یعنی لجر لایو (Ledger Live) ، BRD و اج (Edge)، به کلاهبرداران اجازه دستبرد به داراییهای افراد توسط بیت کوینهای دوباره خرج شده را میداد؛ به گونهای که پیش از تأیید تراکنش، افراد تصور میکردند که بیت کوین خود را دریافت کردهاند.
باگی که در سه کیف پول شناخته شده بیت کوین وجود داشت، با ورود تراکنش های تایید نشده به تراز کیف پولهای کاربران، به کلاهبرداران اجازه میداد تا با بیت کوینهای دوباره خرج شده (دابل اسپند) آنها را فریب دهند.
ترازهای غیر قابل اعتماد کیف پول های بیت کوین
این باگ فنی این امکان را به مهاجمان و کلاهبرداران میدهد تا صاحبان این کیف پولها را طوری فریب دهند که آنها تصور کنند بیت کوین خود را دریافت کردهاند، در حالی که تراکنش هنوز تأیید نشدهاست.
پیش از این که بتوانیم یک تراکنش را انجام شده بدانیم، ضروری است که چندین ساعت صبر کنیم تا بلاک حاوی تراکنش به دفعات مورد تایید قرار گیرد و مطمئن شویم که تراکنش کاملاً برگشت ناپذیر است. هرچه تراکنشی تاییدهای بیشتری بگیرد، لغو یا تغییر آن با کارمزدهای بیشتر دشوارتر میشود.
تمام افراد باسابقه و کارآزموده در حوزه بیت کوین پیش از این که تراکنشی را قطعی در نظر بگیرند تعداد تاییدهای آن را کنترل میکنند. اما کاربران جدید با مشاهده یک افزایش تراز حتی ساختگی در کیف پول خود میتوانند به راحتی فریب بخورند.
بسیاری از کیف پولهای مطرح بیت کوین مانند لجر لایو (Ledger Live) ، BRD و اج (Edge) تاکنون در معرض این آسیبپذیری قرار داشتهاند.
ویژگی جایگزینی تراکنشها با کارمزد بالاتر (Replace by Fee/RBF) در بیت کوین به این شکل عمل میکند که وقتی تراکنشی هنوز تایید نشده، میتوان آن را با یک تراکنش دیگر با کارمزد بالاتر جایگزین کرد. ماینرها نیز معمولاً تراکنشهای با کارمزد بالاتر را میپذیرند و در نتیجه تراکنش قبلی به طور کل جایگزین میشود.
برخی از کیف پولها برای پیاده سازی RBF با مشکل مواجه بودند که در نهایت به شکلگیری BigSpender که ترکیبی از آسیبهایی مانند حملات دابل اسپندینگ(حمله دوباره خرج کردن) و خرج چندباره میباشد انجامید. نام BigSpender نیز به همین موضوع اشاره دارد: امکانی که در اختیار مهاجمان قرار داده شده تا با خرج کردن چیزی بیش از دارایی واقعیشان به کلاهبرداری بپردازند.
نسخه ۰.۱۲ بیت کوین کور (Bitcoin Core) سیستم RBF را در بلاک چین خود به کار گرفت و به این ترتیب، این مسئولیت عملاً بر عهده کاربران قرار داده شد تا با در نظر گرفتن تعداد تأییدهای یک تراکنش در مورد اعتماد یا عدم اعتماد به نهایی شدن تراکنش تصمیمگیری کنند.
پیامد این مشکل فنی این بود که تراز موجود در کیف پولهای مطرح و شناخته شده دیگر نشاندهنده دارایی واقعی شخص نبود، بلکه فقط نمایشی از همه تراکنشهای احتمالی و در دست بررسی بود.
تراکنشهای بیت کوین با تعدادی از مراحل و وضعیتها شناخته میشوند. تراکنش بیت کوین نیز مانند هر تراکنش دیگری حرکتی از مرحله آغازین به سمت مرحله نهایی، با تعدادی مراحل میانی است.
مرحله آغازین مربوط به وقتی است که یک کاربر تراکنشی را آغاز میکند. مرحله میانی به زمانی گفته میشود که تراکنش در استخر تراکنشها منتظر اعتبارسنجی و تایید است. در نهایت زمانی که تراکنش تایید میشود میتوانیم بگوییم این تراکنش به مرحله نهایی خود رسیدهاست.
زمانی که شخصی تراکنش جدیدی را با کارمزد بالاتر آغاز میکند تراکنش قبلی از مرحله میانی به مرحله آغازین باز میگردد. اما این کیف پولها زمان محاسبه تراز حساب، مرحله میانی را به عنوان مرحله نهایی در نظر میگرفتند.
عدم به کارگیری درست ویژگی RBF در کیف پولها، به کاربرانی که قصد سو استفاده داشته باشند امکان انجام حملاتی مانند حملات دابل اسپندینگ، حملات محروم سازی از سرویس (DOS) و حملات امپلیفیکیشن (نوعی از حملات محروم سازی از سرویس از نوع غیرمتمرکز و تقویت شده یا DDos) را میدهد.
حمله امپلیفیکیشن به حملهای گفته میشود که در آن یک کلاهبردار مقدار کمی از بیت کوین را به دفعات متعدد ارسال میکند؛ تا جایی که شخص دریافت کننده تصور میکند مقدار زیادی بیت کوین را دریافت کردهاست. برای مثال ۱۰۰ تراکنش ناموفق به ارزش ۵ دلار باعث میشود تا تراز نهایی حساب کیف پول شخص، مبلغ ساختگی ۵۰۰ دلار را نشان بدهد. این نوع از حیلهها میتوانند بیت کوینرهای تازه کار را به سادگی فریب دهند.
سرویس دهندگان کیف پول باید مسئولیت رفع این مشکل را بر عهده بگیرند
این مشکل فنی در سه کیف پول ذکر شده برای اولین بار توسط یک کیف پول رمز ارز اسراییلی به نام زنگو (ZenGo) کشف و افشا شد. زنگو در گزارشی در این باره گفت:
در برخی از این کیف پولهای آسیبپذیر جبران خسارات این چنینی بسیار دشوار یا گاهاً غیرممکن است.
زنگو ابتدا یک فرصت ۹۰ روزه برای حل این معضل به این شرکتها داد و پس از آن گزارشی را در این باره منتشر کرد. این شرکت اسراییلی اظهار داشت از لجر لایو و BRD بخاطر خسارت متحمل شده مبلغی را دریافت کردهاست؛ در حالی که اج وجود معضل آسیب پذیری در کیف پولش را پذیرفته و وعده برطرف کردن آن در آینده را دادهاست.

خلاصه اطلاعات مربوط به آسیب پذیری وال های بیت کوین؛ منبع: ZenGo
در حال حاضر BRD و لجر لایو در جهت حل این مشکل تغییراتی را در کد کیف پول خود ایجاد کردهاند اما اج هنوز اقدامی در این راستا انجام ندادهاست. بسیار مهم و ضروریست که کیف پولهای بیت کوین از این اختلالات جزئی در بلاک چین این رمز ارز آگاهی کامل داشته و از به سرقت رفتن داراییهای کاربران جلوگیری کنند.
منبع: cryptobriefing.com