Il team di ZenGo, startup israeliana che propone un wallet per la gestione delle criptovalute, ha individuato e reso nota una grave vulnerabilità che interessa tre software della stessa categoria: Ledger Live, Edge e Breadwallet. Non è da escludere la possibilità che anche altri ne siano interessati. I loro utenti corrono il pericolo di veder raddoppiato l’importo speso per ogni transazione eseguita con Bitcoin o nei casi più gravi di rimanere del tutto esclusi dalla gestione dei propri fondi.
Vulnerabilità per Ledger Live, Edge e Breadwallet
BigSpender, questo il nome attribuito alla falla, consente a un malintenzionato di far leva sulla funzione RBF (Replace-by-Fee) a cui gli utenti possono fare affidamento per revocare una transazione non ancora confermata e rimpiazzarla con un’altra dall’importo superiore.
Questa la dinamica di un possibile attacco perpetrato sfruttando la vulnerabilità: il malintenzionato invia fondi alla vittima fissando una commissione sufficientemente contenuta per assicurarsi che la transazione non riceva conferma. Mentre questa è in sospeso viene poi cancellata risultando aumentata nel valore all’interno dei wallet in questione spingendo l’utente a credere in modo erroneo che sia stata portata a termine con successo.
Così facendo si innesca una situazione di tipo Double-Spend con il criminale che fa credere al proprio bersaglio di aver inviato un pagamento, mantenendo invece il controllo sulla somma in Bitcoin. La falla è relativa al modo in cui il software gestisce le transazioni non confermate. Dei tre citati in apertura, Ledger e Breadwallet hanno già apportato modifiche tali da prevenire qualsiasi problema, mentre Edge è al lavoro per farlo.