Big Spender er et dobbeltbrukshack som gir brukerne ideen om at de har mottatt penger når de faktisk ikke har det. I stedet har personen som til slutt har overtent transaksjonen og de aktuelle lommebøkene snappet kryptotransaksjonen og stjålet pengene og erstattet den. Dette forhindrer til slutt at mottakeren får tilgang til lommeboken sin og bruker midlene sine mens hackeren jobber for å omdirigere dem til en lommebok i hans (eller hennes) kontroll.
Problemet ble oppdaget av Zen Go, en Tel Aviv-basert bitcoin og cryptocurrency-bedrift. Representanter hevder at problemet kan ha blitt integrert i millioner av individuelle Bitcoin Era – og krypto-lommebøker. Blant lommebøkene som er kjent for å være berørt i skrivende stund, er Ledger Live, Edge og BRD (Bread).
Zen Go har allerede begynt å jobbe med disse lommebøkene for å fjerne deres sårbarheter. Selskapet har også kommet i kontakt med lommebokenes originale utviklere for å informere dem om situasjonen.
Senior programvareingeniør hos det israelske selskapet Oded Leiba forklarte i en uttalelse:
Kjernen i kjernen av Big Spender-sårbarheten er at sårbare lommebøker ikke er forberedt på alternativet at en transaksjon kan bli kansellert og implisitt antar at den vil bli bekreftet til slutt. Denne uaktsomheten har mange ansikter. Først og fremst økes en brukers saldo ved en innkommende transaksjon mens den ikke er bekreftet og blir ikke redusert hvis transaksjonen er dobbelt brukt og dermed effektivt kansellert.
Men mens Zen Go beveger seg raskt for å sikre at sårbarheten blir ivaretatt på forhånd, er det ikke alle som reagerer positivt. Både ansatte og Ledger og BRD hevder at Zen Go bruker uklart ordbruk for å beskrive situasjonen og sier at det ikke skjer dobbeltutgifter i noen av de aktuelle transaksjonene.
Medlemmer av Ledger-sikkerhetsteamet forklarer:
Det blir ikke utført noe faktisk dobbeltbruk. Brukerfondene forblir trygge. Likevel kan visningen av mottatte transaksjoner være misvisende.
Så mange store lommebøker påvirket
Hvis trusselen om dobbeltbruk er reell, er det overraskende hvor mange mainstream crypto lommebøker som har blitt offer for den. BRD, for eksempel, kan for tiden skryte av mer enn fem millioner brukere. Administrerende direktør i Zen Go Ouriel Ohayon uttalte:
Potensielt flere millioner brukere ble utsatt før fiksen basert på brukerbasen til Ledger og BRD-offentlige numre … Det betyr ikke at det ikke er andre problemer eller at andre lommebøker ikke blir utsatt for Big Spender-angrepet … Tatt i betraktning at dette kan føre til i umuligheten av å bruke pengene dine og det faktum at dette kan gjøres i omfang, kan denne [utnyttelsen] anses som alvorlig. Hacks er konstante. Sikkerhet er en pågående kamp kjempet av bransjen og en som ikke kan vinnes av en enkelt spiller eller et enkelt produkt, enn si en versjonsoppdatering.