Cuando todavía no hay ninguna confirmación de la TX, es cuando se puede realizar un doble gasto de manera más sencilla. Puedes por ejemplo realizar un pago en un negocio, y a continuación realizar un envió de la misma cantidad a otra dirección que esté en tu poder, con un Fee más alto. Lo más probable es que los mineros procesen esta segunda TX primero, lo que invalidaría la primera TX. Esto no siempre es con mala fe. Por ejemplo, si has enviado una TX con fees muy bajos, puedes intentar reenviar una con los mismos inputs, con fees más altos, para ver si se procesa antes que la primera, “acelerando” de facto su procesamiento, a costa de más fee.
De ahí que, como mínimo, has de contar con una confirmación de TX para darla por consolidada, aunque comúnmente, los Exchanges requerirán 3, y 6 para pagos de un importe elevado. Ahí cada cual puede poner el umbral donde considere (incluso más allá de las 6 confirmaciones).
Entre 1 y 6 confirmaciones, el doble gasto no se produciría potencialmente por enviar la misma cuantía nuevamente a un fee más elevado (como en el caso anterior descrito sin confirmación mediante), sino que estaría potencialmente sujeto a un ataque del 51% del Hash, que permitiría a un atacante controlar la validación de los bloques, e introducir o deshacer TXs ya confirmadas. Cuantas más confirmaciones, más hashrate sostenido hace falta, y se suele pensar que con 6 confirmaciones de TX, el coste de un ataque del 51% es poco probable dado su coste.
Este hilo no está mal para comprender cómo podría suceder (explicado sobre alts):
How does a double spend 51% attack work ? Explanation and examples.