鏈聞消息,加密錢包 ZenGo 發佈報告稱其在 Ledger、BRD 和 Edge 等主流加密貨幣錢包中發現了一個漏洞(命名爲「BigSpender」)。該漏洞可能會使未確認的交易計入用戶的總餘額中,而此時,攻擊者可在交易確認之前撤銷該筆交易。攻擊者利用了比特幣協議中的一項費用替代「Replace-by-Fee」功能。該功能可通過支付更高的手續費來替換此前的一筆交易。攻擊者可以連續多次使用該功能進行 BigSpender 攻擊。值得注意的是,BigSpender 並不是比特幣協議中的漏洞,不會讓攻擊者竊取比特幣,但可用來混淆用戶。ZenGo 已經在 90 天之前披露了該漏洞,並同意爲這些錢包保密 90 天,保密期限已於 7 月 1 日到期。Ledger 和 BRD 現已向 ZenGo 授予了漏洞賞金。另外,BRD 目前已經發布了修復程序。更新:Ledger 對此迴應稱,這不是漏洞,只是有惡意行爲者會利用該費用替代功能進行詐騙。用戶的私鑰、PIN 碼等信息是安全的。另外,截至目前從未出現過用戶被欺騙的報告。Ledger 現已更新 Ledger Live,包括提升用戶體驗(UX)。用戶可直接驗證交易狀態,並會在有未確認交易的情況下接收到提示通知。

來源鏈接