BRD, Ledger Live et Edge sont parmi les portefeuilles vulnérables à un nouvel exploit à double dépense, mais certains pensent que la vulnérabilité est inhérente au Bitcoin lui-même.
Le 2 juillet, la société de sécurité cryptographique ZenGo a identifié un exploit à double dépense ciblant plusieurs portefeuilles Bitcoin ( BTC) populaires , surnommés „ BigSpender “
Sur neuf portefeuilles de crypto-monnaie testés par ZenGo, BRD, Ledger Live et Edge se sont révélés vulnérables à l’attaque. Les trois sociétés ont mis à jour leurs produits après que ZenGo les ait informés de la menace, mais la société a averti que des «millions» d’utilisateurs de crypto-monnaies pourraient avoir été exposés à l’exploit avant son identification.
Malgré la décision des portefeuilles de se protéger contre BigSpender, le promoteur de Bitcoin Cash ( BCH ), Hayden Otto, affirme que la vulnérabilité est inhérente au Bitcoin Code «par conception» et peut encore être exploitée.
Bitcoin vulnérable
BigSpender a été découvert grâce aux recherches en cours de ZenGo sur la fonction de remplacement par frais de Bitcoin (RBF).
Selon la société de sécurité, «RBF est une méthode standard pour permettre aux utilisateurs d’annuler une transaction non encore confirmée, en envoyant une autre transaction dépensant les mêmes pièces (mais éventuellement une destination différente) avec des frais plus élevés».
BigSpender n’est pas la première fois qu’un exploit cible des vulnérabilités RBF pour exécuter une attaque à double dépense, une technique similaire étant notoirement décrite dans une vidéo publiée par Otto en décembre qui est rapidement devenue virale. L’exploit n’est possible qu’avec zéro confirmation.
S’adressant à Cointelegraph, Otto a déclaré que les attaques RBF sont «particulièrement préoccupantes pour les marchands acceptant la BTC qui auraient pu facilement remettre des marchandises à un client qui a ensuite annulé sa transaction BTC en quittant le magasin».
«La technique est facilitée par RBF (remplacer par des frais), une soi-disant« fonctionnalité »ajoutée au niveau du protocole par les développeurs Bitcoin Core. Le problème existe si vous utilisez BTC. Le logiciel de portefeuille ne peut faire que des compromis, ce qui se traduit par une pire expérience utilisateur BTC, afin d’essayer de protéger les utilisateurs BTC. »
Le promoteur du BCH a décrit l’exploit comme «un problème avec BTC lui-même», ajoutant qu’il n’a «rien à voir avec les différents logiciels de portefeuille».
Les portefeuilles contestent la gravité de la menace
Cependant, tout le monde n’est pas convaincu que BigSpender constitue une grave menace pour Bitcoin, les fournisseurs de portefeuille concernés contestant le langage utilisé par les chercheurs de ZenGo.
S’adressant à Forbes : Ledger a affirmé: «Il n’y a pas de double dépense en cours. Les fonds des utilisateurs restent en sécurité. Néanmoins, l’affichage des transactions reçues pourrait être trompeur. »
C’est bien sûr ce qu’Otto a exploité: amener les marchands à remettre les marchandises avant le transfert des fonds en raison d’un affichage «trompeur». Cependant, les commerçants qui attendent que les transactions soient confirmées avant d’envoyer des marchandises ne risquent pas d’être affectés.
ZenGo a publié un outil open-source gratuit qui permet aux fournisseurs de portefeuilles de tester leurs produits et de se protéger contre la vulnérabilité BigSpender. L’entreprise a noté que tous les portefeuilles touchés par l’exploit n’avaient pas mis à niveau