链闻消息,加密钱包 ZenGo 发布报告称其在 Ledger、BRD 和 Edge 等主流加密货币钱包中发现了一个漏洞(命名为「BigSpender」)。该漏洞可能会使未确认的交易计入用户的总余额中,而此时,攻击者可在交易确认之前撤销该笔交易。攻击者利用了比特币协议中的一项费用替代「Replace-by-Fee」功能。该功能可通过支付更高的手续费来替换此前的一笔交易。攻击者可以连续多次使用该功能进行 BigSpender 攻击。值得注意的是,BigSpender 并不是比特币协议中的漏洞,不会让攻击者窃取比特币,但可用来混淆用户。ZenGo 已经在 90 天之前披露了该漏洞,并同意为这些钱包保密 90 天,保密期限已于 7 月 1 日到期。Ledger 和 BRD 现已向 ZenGo 授予了漏洞赏金。另外,BRD 目前已经发布了修复程序。更新:Ledger 对此回应称,这不是漏洞,只是有恶意行为者会利用该费用替代功能进行诈骗。用户的私钥、PIN 码等信息是安全的。另外,截至目前从未出现过用户被欺骗的报告。Ledger 现已更新 Ledger Live,包括提升用户体验(UX)。用户可直接验证交易状态,并会在有未确认交易的情况下接收到提示通知。

来源链接