ZenGo fand einen Bug in der Benutzeroberfläche von Ledger, BRD und Edge. Double Spending wäre dadurch allerdings nicht möglich gewesen.

Am 1. Juli 2020 lief die 90 Tage Disclosure Frist für einen von ZenGo entdeckten Bug ab. Der Fehler betraf drei große Wallet Anbieter: Ledger Live, die Mobile Wallet BRD sowie Edge. Nach ursprünglichen Angaben des Wallet Anbieter ZenGo wäre eine Double Spend Attacke möglich gewesen.

Replace By Fee sorgte für Probleme

Wie Ledger und BRD in Antworten auf den Bug klar stellten, bestand nie die Gefahr für eine Double Spend Attacke. Vielmehr betrifft die Meldung die Benutzeroberfläche der jeweiligen Wallets.

Was ZenGo eigentlich heraus fand und meldete, ist eine Eigenart des Replace By Fee Feature. Mithilfe von Replace by Fee (kurz: RBF) kann Alice, nachdem sie Bob eine Transaktion geschickt hat, diese Transaktion ersetzen. Das bedeutet, dass Bob mindestens eine Bestätigung der Transaktion abwarten muss, um nicht von Alice betrogen zu werden.

Angenommen Bob arbeitet in einem Café das Bitcoin akzeptiert und Alice bezahlt ihre Rechnung mit einer Bitcoin Transaktion. Nachdem Alice die Transaktion versendet hat, befindet diese sich noch nicht in der Blockchain. Das heißt Alice könnte das Café verlassen und sich selbst mit Replace By Fee die Zeche wieder selbst überweisen. Bob stünde mit leeren Händen da – die ursprüngliche Transaktion würde nie ankommen. Dieser Angriff heißt auch “BigSpender” Attacke.

Der Fehler den ZenGo entdeckte bezieht sich wie gesagt vor allem auf die Benutzeroberfläche der jeweiligen Wallets. Nach ZenGo würde nicht klar gestellt, dass eine Transaktion noch auf Bestätigungen warte. Daher könne ein Nutzer auch unwissend die BigSpender Attacke ausführen.

Ledger, BRD und Edge schließen die Lücke

Da ZenGo einen verantwortlichen Bug-Disclosure Prozess eingehalten hat, konnten Ledger und BRD den Bug bereits beheben. Beide Unternehmen bezahlten außerdem eine Bug Bounty an ZenGo, wenn auch die Summe von Ledger “sehr klein” gewesen sein soll.

Bei der Edge Wallet war das Problem nicht so prägnant und kann von Nutzern durch ein “Resync” der Wallet selbst behoben werden. Ein Update soll allerdings auch hier folgen.

Der Vorfall demonstriert eindrucksvoll wie Wallet-Anbieter untereinander kooperieren, um Sicherheitslücken zu schließen. Mithilfe des Bug-Bounty Programms konnte selbst ZenGo profitieren. Die Sicherheit des Bitcoin Protokolls ist von dieser Nachricht völlig unberührt.