Bitcoin SV weist in seinen Multi-Signatur-Adressen eine schwerwiegende Sicherheitslücke auf, die den Verlust der gespeicherten Gelder seiner Benutzer ermöglicht.
Der bekannte Entwickler und Mitbegründer von Blockstream, Gregory Maxwell, veröffentlichte auf seinem Reddit-Account die resultados aus einer Forschung, die er zum Thema durchgeführt hat Brieftaschen Multisignatur von Bitcoin SVDort wird detailliert beschrieben, wie verschiedene Fehler und Sicherheitslücken dazu führen, dass Benutzer ihr Geld verlieren. Maxwell, der auf Reddit als Benutzer angezeigt wird u/nullc, weist darauf hin, dass die Gabelung der criptomoneda Bitcoin SV (BSV) von Bitcoin Cash (BCH), verursacht, dass mehrere der technischen Eigenschaften von Bitcoin (BTC) y Bitcoin Cash (BCH) werden zerstört, was derzeit zu schwerwiegenden Sicherheitsfehlern und dem möglichen Verlust von Benutzergeldern führt.
„Bitcoin SV (BSV) wurde von Bitcoin Cash (BCH) abgespalten … Dadurch wurden einige der Schlüsselfunktionen von Bitcoin zerstört; Jetzt ist es schlimmer.
Wie der Entwickler erklärt, garantieren die Multi-Signatur-Verträge von Bitcoin SV den Benutzern keine Sicherheit mehr und führen derzeit zum Verlust aller BSV-Token. Ebenso weist Maxwell darauf hin, dass die Gelder echter Nutzer bisher nicht von dem entdeckten kritischen Fehler betroffen waren, mit Ausnahme von Shou, der den Verlust von 600 BSV meldete.
Es könnte Sie interessieren: Windows-, iOS-, Samsung- und Google-Produkte im chinesischen Tianfu-Cup-Wettbewerb gehackt
Der Ursprung des Problems
Offenbar haben die Entwickler der Kryptowährung diese Funktion entfernt, als Bitcoin SV von Bitcoin Cash abgespalten wurde P2SH (An Skript-Hash zahlen), eine spezielle Art von Adresse für Bitcoin-Transaktionen, die Mehrfachsignaturen ermöglicht, aus dem BSV-Quellcode, und sie ersetzten sie durch eine «Pirat und schwache Version» rufen «Multisig-Akkumulator» das Adressen mit einem ähnlichen Format verwendet P2PKH (Zahlung für Public-Key-Hash). Darüber hinaus weist Maxwell darauf hin, dass die Entwickler bei diesen Änderungen eine Reihe von Signaturen verwendet haben „kleiner oder gleich“ statt „größer oder gleich“, was zum aktuellen Exploit führte.
„Mir scheint, dass für Ihren abschließenden Vergleich „größer oder weniger gleich“ anstelle von „kleiner als oder gleich“ verwendet wurde, wahrscheinlich aufgrund der Verwirrung des Autors über die Reihenfolge der Elemente im Stapel.“
Das Ergebnis ist, dass diese Skripte nicht über eine gute Sicherheit verfügen, sodass Geld leicht für ein Skript mit einer geringeren Anzahl gültiger Signaturen ausgegeben werden kann. Laut Maxwell haben die Entwickler weder die ordnungsgemäßen Tests durchgeführt noch die Funktionsfähigkeit ihres Produkts wie geplant mit ausreichend Signaturen überprüft.
Fehlende Basistests
Maxwells Wertschätzung ist das; Die Entwickler haben nur getestet, ob Multi-Signatur-Transaktionen mit der zum Senden der Transaktionen erforderlichen Anzahl an Signaturen funktionieren würden, nicht mit einer größeren oder geringeren Anzahl an Signaturen. Somit führt der kritische Fehler dazu, dass Ausgaben in einer Transaktion fehlschlagen, wenn eine größere Anzahl der minimal erforderlichen Unterschriften verwendet wird, und ermöglicht den Diebstahl von Geldern, wenn eine geringere Anzahl oder gar keine Unterschriften verwendet werden.
Andererseits gibt der Entwickler an, dass das Problem von Anfang an gelöst worden wäre, wenn er die grundlegenden Tests und Prüfungen durchgeführt hätte. Maxwell argumentiert, dass es sich bei diesem kritischen Fehler möglicherweise um einen zufälligen Fehler und nicht um etwas Absichtliches oder Vorsätzliches der Entwickler handelt.
Sicherheitsempfehlungen
Zunächst weist Maxwell darauf hin, dass Benutzer bei der Verwendung benutzerdefinierter Skripte aufmerksam und ausreichend sicher sein müssen, da diese Art von „benutzerdefinierten kryptografischen Protokollen“ mit der gleichen Sorgfalt entwickelt werden muss wie alle anderen vorhandenen und bekannten kryptografischen Protokolle, und das auch Benutzer sollten wissen, dass sie nicht Opfer von „offensichtlichen Betrügereien“ oder Schwachstellen werden, die die Sicherheit ihrer Gelder gefährden.
Auf der anderen Seite die Entwickler von Electrum SV, der Wallet, die von verwendet wird Aaron Zhou, veröffentlichte auf seinem Twitter-Konto eine Warnung an die Benutzer, in der er darauf hinwies, dass sie den Skripttyp ihrer Wallets nicht ändern sollten, insbesondere nicht auf „Akkumulator-Multisig“, da dies zum Verlust aller Gelder führen könnte.
Durch diesen Exploit gingen 600 BSV verloren
Roger Taylor, Electrum VS-Entwickler, hat a gepostet articulo Dort wird berichtet, dass ein Benutzer eine große Menge an BSV-Tokens verloren hat, weil er den Skripttyp seiner Multisig-Wallet in das „Akkumulator-Multisig“-Skript geändert hat, was zu dem Diebstahl führte, dessen Opfer Aaron Zhou war verloren 600 BSV bei einem Angriff, der diese Schwäche ausnutzte.
Taylor berichtet, dass die Funktion „Akkumulator-Multisig“ derzeit in Version 1.3.7 von Electrum SV standardmäßig deaktiviert ist. Schließlich erinnern sich Entwickler an die Bedeutung der Sicherheit bei der Implementierung oder Verbesserung von Codes. Im Fall von Bitcoin SV wurden die Änderungen am Kryptowährungscode vorgenommen, um schnelle Transaktionen zu ermöglichen, und kritisierten die „langsame und konservative“ Entwicklung von Bitcoin. Nun ist vielen leider klar, dass schnelle Entwicklung nicht unbedingt Sicherheit bedeutet; Oftmals können solche schwerwiegenden Fehler gemacht werden, bei denen die Sicherheit zugunsten der Geschwindigkeit geopfert wird.
Weiterlesen: Der Benutzer verliert bei einem Phishing-Angriff 1.400 BTC, die in einer Electrum-Wallet gespeichert sind
