Klicke Hier, um die besten Krypto Presales zu sehen, die sich in diesem Jahr verzehnfachen könnten!
Ein potenzieller Exploit, der von ZenGo aufgedeckt und vom Ledger als “raffinierter Trick” beschrieben wurde, ist in den betroffenen Wallets zwar weitgehend behoben – es bleiben aber offenbar einige Schwachstellen bestehen.
Auch wenn das Problem inzwischen teilweise behoben wurde, sind einige der oben genannten Wallets immer noch etwas anfällig. Doppelte Ausgaben sind ein potenzieller Exploit in Kryptowährungen, der es böswilligen Akteuren ermöglicht, die gleichen Coins zwei- oder mehrmals auszugeben.
Zu diesem Zweck können Betrüger eine Transaktion mit einer Mindestgebühr senden und diese dann sofort außer Kraft setzen, indem sie die Gebühr erhöhen (so dass Miner einen Anreiz erhalten, die profitablere neue Transaktion zuerst zu überprüfen) und die Gelder an eine andere Adresse umleiten.
Einem Bericht von ZenGo zufolge berücksichtigten Ledger and Bread Wallets zum Zeitpunkt der Prüfung eine mögliche Stornierung einer Transaktion nicht. Darüber hinaus haben sie lediglich visuell zusätzliche Gelder auf die Benutzerguthaben eingezahlt, ohne auf eine Bestätigung zu warten.
“Das Kernproblem, das den Kern der BigSpender-Schwachstelle ausmacht, ist, dass gefährdete Brieftaschen nicht auf die Option vorbereitet sind, dass eine Transaktion abgebrochen werden könnte, und implizit davon ausgehen, dass sie irgendwann bestätigt wird”, so die Forscher.
Im Fall von Ledger wurde das Problem Berichten zufolge dadurch gelöst, dass der Cache gelöscht und eine Neusynchronisierung des Netzwerks erzwungen wurde. Für Bread hätte die Erholung von dieser Situation “eigentlich sehr schwer” sein können.
“Dies lässt dem Benutzer die Möglichkeit, seinen Seed von Bread in einen anderen Wallet zu migrieren. Angesichts der Tatsache, dass Bread eine nicht standardmäßige HD-Ableitung von Schlüsselpaaren aus einem Seed hat, ist dies wahrscheinlich nicht einfach und erfordert etwas Fachwissen von einem Benutzer und möglicherweise externe Tools”, erklärt ZenGo.
Der Bericht stellt fest, dass das Problem mit der Edge-Wallet subtiler war, da sich ihr Guthaben nur einmal für eine Reihe von ausstehenden Transaktionen erhöht hat – und durch Klicken auf “Resync” im Optionsmenü gelöst wurde.
In einigen Fällen könnte der als “BigSpender” bezeichnete Exploit es Usern unmöglich machen, ihr Guthaben vollständig abzuheben, da ein Teil des Guthabens einfach nicht existiert, was zu fehlgeschlagenen Transaktionen führt. In schwerwiegenderen Fällen, wie z.B. bei absichtlichen DDoS-Angriffen auf einen Wallet per Double Spend, können deren Besitzer überhaupt keine Gelder abheben.
“Bei einigen der anfälligen Wallets ist es schwierig (oder sogar unmöglich), sich von diesem Angriff zu erholen. Selbst eine Neuinstallation des Wallets führt nicht dazu, dass er sich wieder mit dem Bitcoin-Netzwerk synchronisiert und die richtige Balance zeigt. Wenn keine Wiederherstellung möglich ist, wird der Denial-of-Service-Angriff permanent”, warnt ZenGo.
Exploit oder schlichter Betrug?
Das Unternehmen schreibt, dass es die Entwickler von gefährdeten Wallets 90 Tage vor der Veröffentlichung des Berichts informiert habe, aber nur einige von ihnen hätten die Schwachstelle vollständig behoben.
Laut ZenGo hat Bread Wallet die Schwachstelle in Version 4.3 für iOS und Android behoben. Ledger seinerseits “erkannte die Schwachstelle an, behebt einige Aspekte (nur die verstärkte Variante) des Angriffs in 2.6”, aber “andere Varianten sind noch nicht behoben”. Edge erkannte die Schwachstelle ebenfalls an und plant, sie “in Zukunft zu beheben”, so ZenGo.
Ledger Chief Technology Officer Charles Guillemet bestätigt, dass ZenGo seine Firma vor dem Exploit gewarnt habe – er argumentiert aber, dass “BigSpender” eher ein “cleverer Trick” sei als eine Schwachstelle im herkömmlichen Sinne.
“Es ist wichtig zu verstehen, dass der eigentliche Fehler eher als “cleverer Trick” denn als Schwachstelle angesehen werden kann. Tricks sind keine Schwachstelle. Aber wir wollen verhindern, dass irgendjemand Opfer solcher raffinierten Machenschaften wird”, erklärt Guillemet und ergänzt, dass Ledger “ein Update unserer Software, Ledger Live, veröffentlichen wird, wo ein Banner erscheint, sobald eine eingehende Transaktion noch nicht bestätigt wurde”.
Er erklärt außerdem, dass die Hardware-Wallets von Ledger “von diesem Fehler in der Benutzeroberfläche nicht betroffen” seien.
Textnachweis: Decrypt, Liam Frost
Zuletzt aktualisiert am 5. April 2022
Fragen und Antworten
Sie haben eine Frage? Unser Experten-Panel beantwortet gerne Ihre Fragen.