Bitcoin-Wallets haben einen Fehler, der gegen Benutzer verwendet werden kann

Was bewirkt der Fehler?

Nach einem aktuellen Bericht des Wallet-Service ZenGo leiden zahlreiche große Wallets, wie Edge, BRD und Ledger Live, alle unter dem gleichen Fehler. Dieser Fehler könnte es potenziellen Angreifern ermöglichen, die Besitzer von Wallets zu täuschen, so dass sie glauben, sie seien mit BTC bezahlt worden. In Wirklichkeit wäre diese Zahlung jedoch nie angekommen.

Das Problem liegt in einer Funktion, die als Replace-by-Fee bekannt ist. Diese Funktion ermöglicht es Benutzern, Transaktionen, die noch auf eine Bestätigung warten, durch eine andere Transaktion zu ersetzen, die dieselben Münzen verwenden würde, jedoch zu einer höheren Gebühr führt.

Diese Funktion soll Menschen helfen, deren ursprüngliche Transaktion aufgrund niedriger Gebühren im Mempool hängen bleibt. Zumindest in der Theorie würde die Entscheidung für eine höhere Gebühr dazu führen, dass die Transaktion schneller bearbeitet wird.

Aber das Design der betroffenen Wallets könnte es Hackern ermöglichen, dieses Feature auszunutzen und den Menschen den Eindruck zu vermitteln, dass sie bezahlt wurden.

Dies könnte gegen Händler oder Dienstleistungsanbieter verwendet werden, indem Betrüger eine Transaktion durchführen und diese dann, solange sie noch in Bearbeitung ist, vor der Bestätigung stornieren.

ZenGo hat 90 Tage lang geschwiegen, die Frist lief jedoch gestern ab

Das ZenGo-Team nannte den Fehler "BigSpender", und es machte die Entwickler der betroffenen Wallets schnell auf das Problem aufmerksam. Das Unternehmen behielt seine Ergebnisse auch 90 Tage lang vertraulich, wie im formellen Offenlegungsverfahren vorgesehen. Diese Frist lief jedoch gestern, am 1. Juli, ab, und das Unternehmen veröffentlichte seine Ergebnisse, um die Öffentlichkeit zu warnen.

Sie charakterisierte den Fehler als eine Verwundbarkeit mit doppeltem Aufwand. Natürlich ist das Problem dort vor allem auf die Benutzeroberfläche zurückzuführen, da einige der Wallets den Benutzer nicht über den Status der Transaktionen informieren. Daher weiß der Benutzer nicht, ob die Transaktion anhängig, abgebrochen oder abgeschlossen ist.

Derselbe Fehler kann auch Menschen einer DoS-Attacke aussetzen, wenn die Wallets die Bilanz falsch berechnet. Alles in allem ist es ein kleiner Fehler, der leicht zu übersehen ist, aber auch ein Fehler, der viel Schaden anrichten kann, wenn er nicht behoben wird.