Hvad er Transaction Replacement Attack?
En Transaction Replacement Attack er, når nogen sender en kryptobetaling og så hurtigt udsender en anden version af samme transaktion med ændrede oplysninger, før den bliver bekræftet. Målet er at snyde den, der accepterer den første ventende betaling. Tænk på at love kontanter ved kassen og så løbe tilbage for at skifte sedlerne, mens kassereren kigger væk.
Hvis en transaktion vises som ventende, er det sikkert at betragte den som betalt. Ikke helt. Indtil en miner inkluderer den i en blok, kan der stadig ske ombytninger, og en Transaction Replacement Attack kan ændre udfaldet.
Hvordan Transaction Replacement Attack virker
Kort trin for trin med en simpel kassesituation i tankerne.
- Trin 1: En angriber sender dig en betaling med et lavt gebyr. Du ser den som ventende og føler dig tryg ved det.
- Trin 2: Før bekræftelse laver angriberen en ny transaktion, der bruger de samme midler, ofte via Replace by Fee (RBF) eller ved at sende igen med samme nonce på kontobaserede kæder.
- Trin 3: Erstatningen tilbyder et højere gebyr og appellerer mere til minere, så den bliver minet, mens den første version bliver forkastet.
- Trin 4: Det er lettere under kraftig netværksoverbelastning, hvor minere prioriterer højere gebyrer.
- Trin 5: Du udleverer varen eller tjenesten baseret på en ventende betaling og ender uden betaling, når kæden bekræfter erstatningen.
Det er tricket. Simpelt, lidt snedigt og kan forhindres.
Hvorfor Transaction Replacement Attack er relevant
Her er hvorfor du bør være opmærksom, uanset om du driver en kasse eller blot flytter mønter til en ven.
- Fordel: Erstatningsmekanismer gør det muligt for ærlige brugere at fremskynde fastlåste betalinger ved at øge gebyret, hvilket er nyttigt, når du har brug for bekræftelse med det samme.
- Perspektiv: De samme værktøjer, der hjælper dig, kan også bruges imod dig, hvis du stoler på en ventende betaling for varer eller adgang.
- Relevans: Du vil se dette i kassesystemer, ved udstedelse af NFT'er, i OTC-handler og alle steder, hvor folk accepterer ventende transaktioner.
Brug en kryptovaluta tegnebog der tydeligt markerer udskiftelige transaktioner og viser bekræftelsestal. Ved betalinger kræv et par bekræftelser, før du udleverer noget, der betyder noget.
Hovedtræk ved Transaction Replacement Attack
Hvad der adskiller dette, sagt enkelt:
- Tidspunkt: Det sker før bekræftelse, mens transaktionen stadig ligger i mempoolen.
- Incitamenter: Et højere gebyr eller bedre betingelser frister minere eller validatorer til at inkludere erstatningen i stedet for originalen.
- Signaler: Nogle transaktioner er markeret som udskiftelige, og kontobaserede kæder tillader erstatninger med samme nonce.
- Mål: Handlende eller modparter, der accepterer ventende betalinger, er sårbare.
Variationer
Samme tema, lidt forskellige mekanismer afhængigt af kæden.
- RBF: Afsender markerer en betaling som udskiftelig og sender senere en version med højere gebyr, der ændrer output eller modtageren.
- Nonce swap: På kontobaserede kæder sender en bruger transaktionen igen med samme nonce men højere gas, hvilket annullerer eller ændrer den tidligere hensigt.
- Refund trick: Afsenderen betaler først en forhandler og erstatter derefter den ventende betaling med en, der sender pengene tilbage til en adresse, de kontrollerer.
Betragt ikke en betaling som endelig, før din node markerer transaktionen som afgjort. En Transaction Replacement Attack taber kraft efter tilstrækkelige bekræftelser.
Eksempel
En café accepterer en ventende betaling for en latte, køberen udsender straks en erstatning med højere gebyr, der sender pengene et andet sted hen, og baristaen opdager senere, at køberen udnyttede udskifteligheden.
Sjovt faktum
Gebyrforøgelse blev indført for at hjælpe ærlige brugere med at redde fastlåste transaktioner, længe før det blev et meme for snyd. Som med mange tekniske tiltag afhænger opfattelsen af, hvem der har nøglerne.
Opsummering
Kort sagt: udlever ikke varer baseret på en ventende betaling. Vent en eller to blokke, så kan du slappe af.