Баг открыл хакерам доступ к криптокошелькам биткоин

bitcoin
$10.924,75
0,06%
ethereum
$359,33
0,04%
tether
$1,00
-0,02%
ripple
$0,25
0,36%
bitcoin-cash
$230,08
0,32%
chainlink
$10,82
-0,66%
polkadot
$4,31
-0,24%
binancecoin
$26,47
0,44%
cardano
$0,10
0,35%
crypto-com-chain
$0,16
-0,03%
bitcoin-cash-sv
$170,05
0,32%
litecoin
$46,81
-0,05%
usd-coin
$1,00
-0,15%
eos
$2,61
0,10%
tron
$0,03
0,21%
monero
$97,41
-0,21%
okb
$6,20
-0,54%
tezos
$2,21
0,19%
stellar
$0,07
-0,06%
neo
$21,10
-0,35%
cdai
$0,02
-0,07%
leo-token
$1,25
-0,08%
cosmos
$4,90
1,92%
nem
$0,12
0,21%
huobi-token
$4,64
0,01%
wrapped-bitcoin
$10.926,46
0,01%
dai
$1,01
0,11%
yearn-finance
$29.909,00
-2,43%
vechain
$0,01
0,68%
theta-token
$0,74
0,91%
Новый способ кражи биткоинов с кошельков
150
3
0

Баги в приложениях – это популярный среди хакеров способ быстро взламывать кошельки и выводить биткоины на свои счета, пользуясь проблемами в работе системы.

Теперь мошенники нацелились на неподтвержденные операции. Они нашли баг, который позволяет подменить операции, забирая монеты себе.

Как крадут криптовалюту

Эксперты компании ZenGo провели собственное исследование и обнаружили баг BiaSpender в популярных кошельках: Ledger Live, Edge, BreadWallet. Используя его, хакеры крадут монеты пользователей, переводя на свои счета.

В отдельных видах кошельков есть функция замены неподтвержденной транзакции. Можно создать новую операцию, но уже с измененной суммой комиссии. Майнеры заинтересованы в этом, ведь сумма их вознаграждения за работу увеличивается. По такой же схеме работают и мошенники.

Чтобы украсть монеты, им следует заменить одну операцию другой, но сумму вознаграждения сделать минимальной. Так они будут знать, что операцию майнер не проведет. После хакеры замещают выгодную транзакцию, которая находится в режиме ожидания своей, указывая номер уже нужного кошелька. В результате средства поступают мошенникам, но пользователь получает уведомление, будто его транзакция выполнена и монеты пришли на счет.

Взлом криптокшельков с помощью спама

Используют хакеры еще один способ взлома – они спамят адреса получателей. Так в системе появляется много фейковых операций, и никто не видит сумму реального баланса. Кошельком пользователь в такой ситуации не может воспользоваться. Есть сведения, что Ledger Live, BreadWallet устранили эту недоработку.

Очередному взлому 13 июля подверглась биржи Cashaa. В результате мошенники украли 336 биткоинов. Стоимость монет составила $3,1 миллионов. Индийская компания сразу же сделала заявление о случившемся. Преступление расследует отдел киберполиции Дели, к работе подключены и другие крупные площадки.