Ведущий производитель аппаратных крипто-кошельков Ledger отрицает, что в программном обеспечении кошелька есть уязвимость, приводящая к двойному расходованию средств.
Уязвимость тесно связана с ошибкой, найденной компанией BitcoinBCH в конце 2019 года. В то время генеральный директор компании Хейден Отто объяснил, как решение для принятия биткоинов в точках продаж может обманывать продавцов, заставляя поверить их, что неподтвержденная транзакция является окончательной и принять ее. Такой же недостаток в функции транзакций replace-by-fee (RBF) в кошельке Ledger может легко позволить заменить неподтвержденную транзакцию на другую, с другим целевым адресом и с более высокой комиссией.
По словам технического директора Ledger Чарльза Гиймета, на самом деле обнаруженная уязвимость — это всего лишь недостаток, который могут пропустить недостаточно опытные пользователи.
«Важно понимать, что это недостаток, а не атака, и он может рассматриваться скорее как хитрый обман. А обман не является уязвимостью. Однако мы хотим, чтобы никто не стал жертвой подобного обмана. Это всего лишь проблема опыта продавцов, недостатком которого может воспользоваться недобросовестный покупатель», — сказал Гиймет.
Исследователи действительно сказали, что сама функция RBF работает как надо, но ответственность за двойное расходование несет кошелек и его пользователи, которые должны всегда проверять транзакции.
«Мы хотим поблагодарить исследователей ZenGo за то, что раскрыли нам эту проблему. Мы хотим, чтобы никто не стал жертвой подобных схем. Способ предотвратить это — убедиться, что любая транзакция подтверждена. Ledger Live выпустил обновление 2 июля. Теперь такое предупреждение отображается для всех ожидающих транзакций», — сказал Гиймет.