ZenGo fand einen Bug in der Benutzeroberfläche von Ledger, BRD und Edge. Double Spending wäre dadurch allerdings nicht möglich gewesen.
Am 1. Juli 2020 lief die 90 Tage Disclosure Frist für einen von ZenGo entdeckten Bug ab. Der Fehler betraf drei große Wallet Anbieter: Ledger Live, die Mobile Wallet BRD sowie Edge. Nach ursprünglichen Angaben des Wallet Anbieter ZenGo wäre eine Double Spend Attacke möglich gewesen.
Replace By Fee sorgte für Probleme
Wie Ledger und BRD in Antworten auf den Bug klar stellten, bestand nie die Gefahr für eine Double Spend Attacke. Vielmehr betrifft die Meldung die Benutzeroberfläche der jeweiligen Wallets. Was ZenGo eigentlich heraus fand und meldete, ist eine Eigenart des Replace By Fee Feature. Mithilfe von Replace by Fee (kurz: RBF) kann Alice, nachdem sie Bob eine Transaktion geschickt hat, diese Transaktion ersetzen. Das bedeutet, dass Bob mindestens eine Bestätigung der Transaktion abwarten muss, um nicht von Alice betrogen zu werden. Angenommen Bob arbeitet in einem Café das Bitcoin akzeptiert und Alice bezahlt ihre Rechnung mit einer Bitcoin Transaktion. Nachdem Alice die Transaktion versendet hat, befindet diese sich noch nicht in der Blockchain. Das heißt Alice könnte das Café verlassen und sich selbst mit Replace By Fee die Zeche wieder selbst überweisen. Bob stünde mit leeren Händen da – die ursprüngliche Transaktion würde nie ankommen. Dieser Angriff heißt auch “BigSpender” Attacke. Der Fehler den ZenGo entdeckte bezieht sich wie gesagt vor allem auf die Benutzeroberfläche der jeweiligen Wallets. Nach ZenGo würde nicht klar gestellt, dass eine Transaktion noch auf Bestätigungen warte. Daher könne ein Nutzer auch unwissend die BigSpender Attacke ausführen.Ledger, BRD und Edge schließen die Lücke
Da ZenGo einen verantwortlichen Bug-Disclosure Prozess eingehalten hat, konnten Ledger und BRD den Bug bereits beheben. Beide Unternehmen bezahlten außerdem eine Bug Bounty an ZenGo, wenn auch die Summe von Ledger “sehr klein” gewesen sein soll. Bei der Edge Wallet war das Problem nicht so prägnant und kann von Nutzern durch ein “Resync” der Wallet selbst behoben werden. Ein Update soll allerdings auch hier folgen. Der Vorfall demonstriert eindrucksvoll wie Wallet-Anbieter untereinander kooperieren, um Sicherheitslücken zu schließen. Mithilfe des Bug-Bounty Programms konnte selbst ZenGo profitieren. Die Sicherheit des Bitcoin Protokolls ist von dieser Nachricht völlig unberührt.
Die besten Krypto-Plattformen | April 2024
Trusted
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.
Alex Roos
Alex einen Bachelor von der Frankfurt School of Management & Finance im Studiengang Management, Philosophy & Economics. Seine Bachelorthese schrieb er über die Anwendungsfelder der Blockchain Technologie.
Seit 2016 beschäftigt sich Alex intensiv mit Bitcoin, der Blockchain Technologie und anderen Kryptowährungen. Anfang 2018 begann Alex regelmäßig Inhalte in Schrift und Ton zur Krypto-Welt zu produzieren. Neben BeInCrypto führt er auch mehrere Podcasts.
Alex einen Bachelor von der Frankfurt School of Management & Finance im Studiengang Management, Philosophy & Economics. Seine Bachelorthese schrieb er über die Anwendungsfelder der Blockchain Technologie.
Seit 2016 beschäftigt sich Alex intensiv mit Bitcoin, der Blockchain Technologie und anderen Kryptowährungen. Anfang 2018 begann Alex regelmäßig Inhalte in Schrift und Ton zur Krypto-Welt zu produzieren. Neben BeInCrypto führt er auch mehrere Podcasts.
KOMPLETTE BIOGRAFIE
Gesponsert
Gesponsert