BRD, Ledger Live, dan Edge adalah di antara dompet yang rentan terhadap eksploitasi pengeluaran ganda baru, tetapi beberapa percaya kerentanan itu melekat pada Bitcoin itu sendiri.
Pada 2 Juli, perusahaan keamanan crypto ZenGo mengidentifikasi eksploitasi pengeluaran ganda yang menargetkan beberapa dompet Bitcoin ( BTC) populer , dijuluki ‘BigSpender’
Dari sembilan dompet cryptocurrency yang diuji oleh ZenGo, BRD, Ledger Live, dan Edge ternyata rentan terhadap serangan itu. Ketiga perusahaan memperbarui produk mereka setelah ZenGo memberi tahu mereka tentang ancaman tersebut, namun perusahaan memperingatkan bahwa “jutaan” pengguna crypto mungkin telah terpapar pada eksploitasi sebelum diidentifikasi.
Meskipun langkah dompet untuk melindungi dari BigSpender, pendukung Bitcoin Cash ( BCH ) Hayden Otto mengklaim kerentanan itu melekat pada Bitcoin “sesuai desain” dan masih dapat dieksploitasi.
Bitcoin rentan
BigSpender ditemukan melalui penelitian ZenGo yang sedang berlangsung tentang fitur ‘Ganti-oleh-Biaya’ (RBF) Bitcoin.
Menurut perusahaan keamanan, “RBF adalah metode standar untuk memungkinkan pengguna untuk ‘membatalkan’ transaksi yang belum dikonfirmasi, dengan mengirimkan transaksi lain yang menghabiskan koin yang sama (tetapi mungkin tujuan yang berbeda) dengan biaya yang lebih tinggi”.
BigSpender bukanlah yang pertama kali mengeksploitasi menargetkan kerentanan RBF untuk melakukan serangan pembelanjaan ganda, dengan teknik serupa yang terkenal diuraikan dalam video yang diterbitkan oleh Otto pada bulan Desember yang dengan cepat menjadi viral. Eksploitasi hanya dimungkinkan dengan nol konfirmasi.
Berbicara kepada Cointelegraph, Otto menyatakan bahwa serangan RBF adalah “khususnya yang memprihatinkan bagi pedagang yang menerima BTC yang bisa dengan mudah menyerahkan barang kepada pelanggan yang kemudian membalikkan transaksi BTC mereka setelah meninggalkan toko.”
Dompet menantang tingkat keparahan ancaman
Namun, tidak semua orang yakin bahwa BigSpender merupakan ancaman besar bagi Bitcoin, dengan penyedia dompet yang terpengaruh menantang bahasa yang digunakan oleh para peneliti ZenGo.
Berbicara kepada Forbes : Ledger menegaskan: “Tidak ada pengeluaran ganda aktual yang dilakukan. Pengguna dana tetap aman. Namun demikian, tampilan transaksi yang diterima bisa menyesatkan. “
Ini tentu saja, apa yang dieksploitasi Otto: membuat pedagang menyerahkan barang sebelum dana ditransfer karena tampilan yang “menyesatkan”. Namun, pedagang yang menunggu transaksi dikonfirmasi sebelum mengirim barang tidak berisiko terpengaruh.
ZenGo telah merilis alat open-source gratis yang memungkinkan penyedia dompet untuk menguji produk mereka dan aman terhadap kerentanan BigSpender. Perusahaan itu mencatat bahwa tidak semua dompet yang terkena dampak eksploitasi telah menerapkan peningkatan