A empresa de segurança de criptomoedas ZenGo, identificou em 2 de julho uma exploração de gasto duplo direcionada a várias carteiras populares de Bitcoin (BTC), apelidada de ‘BigSpender’.
Das nove carteiras de criptomoeda testadas pelo ZenGo, BRD, Ledger Live e Edge foram consideradas vulneráveis ao ataque. Todas as três empresas atualizaram seus produtos depois que a ZenGo os notificou da ameaça. Mas, no entanto, de acordo com a ZenGo, alguns milhões de usuários de criptomoedas podem ter sido expostos à exploração antes de sua identificação.
O defensor do Bitcoin Cash (BCH) Hayden Otto afirma que a vulnerabilidade é inerente ao Bitcoin “por design” e ainda pode ser explorada, apesar das ações das carteiras de proteção contra o BigSpender.
Bitcoin vulnerável
Uma pesquisa em andamento sobre o recurso “Substituir por taxa” do Bitcoin (RBF), realizada pela ZenGo, foi o que descobriu o BigSpender.
A empresa de segurança disse em nota:
“O RBF é um método padrão para permitir que os usuários ‘desfaça’ uma transação ainda não confirmada, enviando outra transação gastando as mesmas moedas (mas possivelmente destino diferente) com uma taxa mais alta”.
Além disso, não é a primeira vez que uma exploração direciona vulnerabilidades RBF para executar um ataque de gasto duplo, como o BigSpender. Em dezembro, uma técnica semelhante sendo detalhadamente descrita em um vídeo publicado por Otto, e que rapidamente se tornou viral. A exploração só é possível com zero confirmações.
Sobre os ataques da RBF, Otto disse em entrevista:
“São particularmente preocupantes para os comerciantes que aceitam BTC, que poderiam facilmente entregar mercadorias a um cliente que, em seguida, reverteu sua transação ao sair da loja. A técnica é facilitada pelo RBF (substituir por taxa), um chamado ‘recurso’ adicionado no nível do protocolo pelos desenvolvedores do Bitcoin Core. O problema existe se você usar o BTC. O software da carteira só pode compensar, o que resulta em uma pior experiência do usuário do BTC, a fim de tentar proteger os usuários do BTC.”
O proponente do BCH descreveu a exploração como “um problema com o próprio BTC”, acrescentando que “não tem nada a ver com os vários softwares de carteira”.
Desafiando a gravidade da ameaça
Contudo, nem todos estão convencidos de que o BigSpender representa uma grave ameaça para o Bitcoin.
Ledger disse para a Forbes:
“Não há gastos duplos reais sendo realizados. Os fundos do usuário permanecem seguros. No entanto, a exibição das transações recebidas pode ser enganosa.”
Obviamente, foi isso que Otto explorou: fazer os comerciantes entregarem as mercadorias antes que os fundos fossem transferidos devido a uma exibição “enganosa”. Entretanto, os comerciantes que esperam que as transações sejam confirmadas antes de enviar mercadorias não correm o risco de serem afetados.
Uma ferramenta gratuita de código aberto foi lançada pela ZenGo. A ferramenta permite que os provedores de carteiras testem seus produtos e se protejam contra a vulnerabilidade do BigSpender. Além disso, a empresa destacou que nem todas as carteiras afetadas pela exploração implementaram atualizações.
