Un potenziale exploit, scoperto da ZenGo e descritto da Ledger come un „trucco intelligente“, è stato in gran parte fissato nei portafogli interessati, anche se rimangono alcune vulnerabilità.

Gli sviluppatori di portafogli criptovaluta senza chiavi ZenGo hanno pubblicato oggi un rapporto che descrive in dettaglio una vulnerabilità agli attacchi con doppia spesa, soprannominata „BigSpender“, che hanno scoperto in portafogli come Ledger Live, Bread e Bitcoin Profit. Nel peggiore dei casi, l’exploit avrebbe potuto rendere inutilizzabili i fondi degli utenti.

Anche se la questione è stata in parte già affrontata

Anche se la questione è stata in parte già affrontata, alcuni dei portafogli sopra citati rimangono ancora in qualche modo vulnerabili.

La doppia spesa è un potenziale exploit nelle valute criptate che consente agli attori malintenzionati di spendere le stesse monete due o più volte. Per fare questo, i truffatori possono inviare una transazione con una commissione minima e poi annullarla immediatamente aumentando la commissione (così i minatori saranno incentivati a verificare prima la nuova transazione più redditizia) e reindirizzando i fondi a un indirizzo diverso.

Secondo il rapporto di ZenGo, i portafogli Ledger e Bread non hanno tenuto conto di una potenziale cancellazione di una transazione al momento della verifica. Inoltre, essi si sono limitati a depositare visivamente fondi aggiuntivi ai saldi degli utenti senza attendere una conferma.

„La questione centrale alla base della vulnerabilità del BigSpender è che i portafogli vulnerabili non sono preparati all’opzione che una transazione possa essere annullata e presuppongono implicitamente che alla fine venga confermata“, hanno spiegato i ricercatori.

Nel caso di Ledger, il problema è stato risolto cancellando la cache e costringendo una risincronizzazione della rete. Per Bread, il recupero da questa situazione avrebbe potuto essere „effettivamente molto difficile“.

„Questo lascia all’utente la possibilità di migrare il suo seme da Bread a un altro portafoglio. Dato che Bread ha una derivazione HD non standard di coppie di chiavi da un seme, questo probabilmente non è facile, richiedendo una certa esperienza da parte di un utente e possibilmente strumenti esterni“, ha spiegato ZenGo.

Il rapporto ha notato che il problema con il portafoglio Edge era più sottile, poiché il suo equilibrio è aumentato solo una volta per una serie di transazioni in sospeso, ed è stato risolto cliccando su „Resync“ nel menu delle opzioni.

In alcuni casi, l’exploit, soprannominato „BigSpender“, potrebbe rendere impossibile agli utenti ritirare completamente il loro saldo, poiché una parte di esso semplicemente non esiste, dando luogo a transazioni fallite. Nei casi più gravi, come ad esempio gli attacchi DDoS intenzionali a doppio uso su un portafoglio, i suoi proprietari non saranno in grado di prelevare alcun fondo.

„In alcuni dei portafogli vulnerabili, questo attacco è difficile (o addirittura impossibile) da recuperare. Nemmeno la reinstallazione del portafoglio fa sì che esso si risincronizzi con la rete Bitcoin e mostri il giusto equilibrio. Se non è possibile il recupero, l’attacco di negazione del servizio diventa permanente“, ha ammonito ZenGo.

Sfruttamento o semplice inganno?

L’azienda ha detto di aver notificato agli sviluppatori di portafogli vulnerabili 90 giorni prima di rendere pubblico il rapporto, ma solo alcuni di loro hanno deciso di risolvere completamente la vulnerabilità.

Secondo ZenGo, Bread wallet lo ha risolto nella versione 4.3 per iOS e Android. A sua volta, Ledger „ha riconosciuto l’exploit, ha risolto alcuni aspetti (solo la variante amplificata) dell’attacco nella 2.6“, ma „altre varianti non sono ancora state risolte“. Edge ha anche riconosciuto la vulnerabilità e prevede di „correggerla in futuro“, ha detto ZenGo.

Parlando con Decrypt, il chief technology officer della Ledger, Charles Guillemet, ha confermato che ZenGo ha avvertito la sua azienda dell’exploit, ma ha sostenuto che „BigSpender“ è più un „trucco intelligente“ che una vulnerabilità in senso tradizionale.

„È importante capire che, più che la vulnerabilità, il vero difetto può essere visto come un trucco intelligente. L’inganno non è una vulnerabilità. Ma vogliamo impedire a chiunque di cadere vittima di questo tipo di schemi intelligenti“, ha detto Guillemet a Decrypt, aggiungendo che Ledger rilascerà un aggiornamento del nostro software, Ledger Live, dove un banner apparirà ogni volta che una transazione in arrivo non è ancora stata confermata“.

Ha anche affermato che i portafogli hardware di Ledger non sono „influenzati da questo difetto dell’interfaccia utente“.