<div>It&#39;s easy enough to mark a transaction as &quot;pending&quot;. People with bank accounts are familiar with the concept.</div><div><br></div><div>Although the risk of accepting gossip information from multiple random peers, in the case where the sender does not control the receivers network is still minimal. Random node operators have no incentive to send fake transactions, and would need to control all the nodes a client connects to, and find a non-false-positive address belonging to the victims wallet. </div><div><br></div><div>It&#39;s not impossible, but it&#39;s non trivial, would only temporarily show a pending transaction, and provide no benefit to the node operator. There are much juicier targets for an attacker with the ability to sybil attack the entire bitcoin p2p network.</div><div><br></div><div>Aaron</div><div><br><div class="gmail_quote"><div>On Tue, Jan 3, 2017 at 11:47 PM Jonas Schnelli &lt;<a href="mailto:dev@jonasschnelli.ch">dev@jonasschnelli.ch</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi<br class="gmail_msg"><br><br class="gmail_msg"><br>&gt; Unconfirmed transactions are incredibly important for real world use.<br class="gmail_msg"><br>&gt; Merchants for instance are willing to accept credit card payments of<br class="gmail_msg"><br>&gt; thousands of dollars and ship the goods despite the fact that the<br class="gmail_msg"><br>&gt; transaction can be reversed up to 60 days later. There is a very large<br class="gmail_msg"><br>&gt; cost to losing the ability to have instant transactions in many or<br class="gmail_msg"><br>&gt; even most situations. This cost is typically well above the fraud risk.<br class="gmail_msg"><br>&gt;<br class="gmail_msg"><br>&gt; It&#39;s important to recognize that bitcoin serves a wide variety of use<br class="gmail_msg"><br>&gt; cases with different profiles for time sensitivity and fraud risk.<br class="gmail_msg"><br>&gt;<br class="gmail_msg"><br>I agree that unconfirmed transactions are incredibly important, but not<br class="gmail_msg"><br>over SPV against random peers.<br class="gmail_msg"><br><br class="gmail_msg"><br>If you offer users/merchants a feature (SPV 0-conf against random<br class="gmail_msg"><br>peers), that is fundamentally insecure, it will – sooner or later – lead<br class="gmail_msg"><br>to some large scale fiasco, hurting Bitcoins reputation and trust from<br class="gmail_msg"><br>merchants.<br class="gmail_msg"><br><br class="gmail_msg"><br>Merchants using and trusting 0-conf SPV transactions (retrieved from<br class="gmail_msg"><br>random peers) is something we should **really eliminate** through<br class="gmail_msg"><br>education and by offering different solution.<br class="gmail_msg"><br><br class="gmail_msg"><br>There are plenty, more sane options. If you can&#39;t run your own full-node<br class="gmail_msg"><br>as a merchant (trivial), maybe co-use a wallet-service with centralized<br class="gmail_msg"><br>verification (maybe use two of them), I guess Copay would be one of<br class="gmail_msg"><br>those wallets (as an example). Use them in watch-only mode.<br class="gmail_msg"><br><br class="gmail_msg"><br>For end-users SPV software, I think it would be recommended to...<br class="gmail_msg"><br>... disable unconfirmed transactions during SPV against random peers<br class="gmail_msg"><br>... enable unconfirmed transactions when using SPV against a trusted<br class="gmail_msg"><br>peer with preshared keys after BIP150<br class="gmail_msg"><br>... if unconfirmed transactions are disabled, show how it can be enabled<br class="gmail_msg"><br>(how to run a full-node [in a box, etc.])<br class="gmail_msg"><br>... educate, inform users that a transaction with no confirmation can be<br class="gmail_msg"><br>&quot;stopped&quot; or &quot;redirected&quot; any time, also inform about the risks during<br class="gmail_msg"><br>low-conf phase (1-5).<br class="gmail_msg"><br><br class="gmail_msg"><br>I though see the point that it&#39;s nice to make use of the &quot;incoming<br class="gmail_msg"><br>funds...&quot; feature in SPV wallets. But – for the sake of stability and<br class="gmail_msg"><br>(risk-)scaling – we may want to recommend to scarify this feature and –<br class="gmail_msg"><br>in the same turn – to use privacy-preserving BFD&#39;s.<br class="gmail_msg"><br><br class="gmail_msg"><br>&lt;/jonas&gt;<br class="gmail_msg"><br><br class="gmail_msg"><br><br class="gmail_msg"><br></blockquote></div></div>