Hé, Big Spender! Ne volez pas mon BTC

Big Spender est un hack à double dépense qui donne aux utilisateurs l’idée qu’ils ont reçu de l’argent alors qu’ils ne l’ont pas fait. Au lieu de cela, la personne qui a finalement dépassé la transaction et les portefeuilles en question a intercepté la transaction cryptographique et volé l’argent et l’a remplacé. Cela empêche finalement le destinataire d’accéder à son portefeuille et d’utiliser ses fonds pendant que le pirate s’efforce de les rediriger vers un portefeuille sous son contrôle.

Le problème a été découvert par Zen Go, une entreprise de bitcoin et de crypto-monnaie basée à Tel Aviv

Les représentants affirment que le problème peut avoir été intégré dans des millions de portefeuilles BTC et crypto individuels. Parmi les portefeuilles connus pour être affectés au moment de la rédaction du présent document, on trouve Bitcoin Fortune, Edge et BRD (Bread).

Zen Go a déjà commencé à travailler sur ces portefeuilles pour supprimer leurs vulnérabilités. La société a également pris contact avec les développeurs originaux des portefeuilles pour les informer de la situation.

Un ingénieur logiciel principal de la société israélienne Oded Leiba a expliqué dans un communiqué:

Le problème principal au cœur de la vulnérabilité de Big Spender est que les portefeuilles vulnérables ne sont pas préparés à l’option selon laquelle une transaction pourrait être annulée et supposent implicitement qu’elle sera finalement confirmée. Cette négligence a de nombreux visages. D’abord et avant tout, le solde d’un utilisateur est augmenté sur une transaction entrante alors qu’il n’est pas confirmé et n’est pas diminué si la transaction est dépensée deux fois et donc effectivement annulée.

Mais alors que Zen Go évolue rapidement pour s’assurer que la vulnérabilité est corrigée à l’avance, tout le monde ne réagit pas positivement. Le personnel de Ledger et de BRD affirme que Zen Go utilise un verbiage peu clair pour décrire la situation et affirme qu’il n’y a pas de double dépenses dans aucune des transactions en question.

Les membres de l’équipe de sécurité de Ledger expliquent:

Il n’y a pas de double dépense en cours. Les fonds des utilisateurs restent en sécurité. Néanmoins, l’affichage des transactions reçues pourrait être trompeur.

Tant de grands portefeuilles touchés

Si la menace de double dépense est réelle, il est surprenant de voir combien de portefeuilles cryptographiques traditionnels en ont été victimes. BRD, par exemple, compte actuellement plus de cinq millions d’utilisateurs. Le directeur général de Zen Go Ouriel Ohayon a déclaré:

Potentiellement, plusieurs millions d’utilisateurs ont été exposés avant le correctif en fonction de la base d’utilisateurs des numéros publics Ledger et BRD… Cela ne signifie pas qu’il n’y a pas d’autres problèmes ou que d’autres portefeuilles ne sont pas exposés à l’attaque Big Spender… Considérant que cela pourrait résulter dans l’impossibilité de dépenser vos fonds et le fait que cela puisse être fait à grande échelle, cet [exploit] peut être considéré comme grave. Les hacks sont constants. La sécurité est une bataille en cours menée par l’industrie et qui ne peut être gagnée par un seul joueur ou un seul produit, sans parler d’une mise à jour de version.