Cüzdan hizmet sağlayıcısı ZenGo’nun yeni bir raporuna göre, dünyanın en çok bilinen cüzdan programları Ledger Live, BRD ve Edge’in kullanıcı ara yüzlerinde yeni bulunan bir hata ile, saldırganların kullanıcıların Bitcoin aldıklarını düşünmeleri için kandırmalarını mümkün kıldı.
ZenGo, şirketleri bu konuda uyardı ve bu bilgileri 90 gün boyunca gizli tutacağı konusunda da anlaşmaya vardı. Bu süre 1 Temmuz itibariyle sona erdi. Şirket bu açığı “Çift harcama güvenlik açığı” olarak tanımladı.
Sorun ‘Ücrete göre yer değiştir’ özelliğinden kaynaklanıyor. Basitçe anlatmak gerekirse özellik, kullanıcıların onay bekleyen bir işlemin yerine, aynı coin’i kullanan ancak daha fazla işlem ücreti ödeyen bir başka işlemin yerleştirmesine izin veriyor. Bu özellik, onaylanmamış işlemler için bekleme yeri olan mem(ory)-pool’da (bellek havuzu) sıkışmış işlemler için yardımcı olabiliyor. Daha yüksek bir işlem ücreti tabii ki madencinin işlemi daha hızlı onaylaması konusunda ikna edeci olacaktır.
İşlem onaylanmadan hemen önce iptal
ZenGo’ya göre kötü niyetli kişilerin kullanıcıları, cüzdanların müdahale edilebilir yapısı sebebiyle ‘Ücrete göre yer değiştir’ özelliğini kullanarak manipüle etmeleri mümkün. Bu da kullanıcıya ödeme yapıldığı sırada işlem beklemedeyken, işlemin onay almadan hemen önce iptal edilerek yapılıyor. ZenGo ekibi bu açığı ‘Fazla harcayıcı’ ismini verdi ve korsanların bunu art arda yapabilme potansiyellerinin olduğunu belirtiyorlar.
Genel olarak bir Bitcoin işlemi, bulunduğu bloğun üstündeki birkaç ek blok onaylanana kadar beklemede kabul edilir yani ödeme hemne size yansıtılmaz. ZenGo ekibinin keşfettiği sorun çoğunlukla kullanıcı arayüzüyle ilgili.
İşlem onay aşamasında ancak fon yerine ulaşmış
Daha savunmasız cüzdanlar, kullanıcıya bir işlemin hala beklemede olduğunu veya iptal edildiğini açıkça belirtmeyen cüzdanlar. Hatta ödemenin yerine vardığını erken bir şekilde bile gösterebilir.
Ledger Live, BRD ve Edge…
“Fazla harcayıcı” açığını fark eder etmez ZenGo çalışanları bu durumun diğer cüzdanlarda olup olmadığını kontrol ettiler. Ledger Live, BRD ve Edge’in doğru şekilde ‘Ücrete göre yer değiştir’ özelliğini sistemlerine entegre etmediklerini saptadılar.
3 cüzdan sağlayıcısı da daha sonra ZenGo’nun sorunla ilgili kendileriyle iletişime geçtiklerini doğruladılar ancak saldırganların aynı Bitcoin’i birden fazla harcamasına atıfta bulunan “Çift harcama” güvenlik açığını ise reddettiler.
CoinOtag’ı ayrıca Twitter, Facebook, Telegram ve Instagram‘dan da takip edebilirsiniz.
