Satoshi Labs, zespół programistów odpowiedzialny za portfele Trezor, wydał nowe aktualizacje dla swoich urządzeń Trezor One i Trezor Model T. Aktualizacje te mają na celu naprawienie luki wykrytej w Bitcoin SegWit, która może mieć wpływ na środki wydawane z tych portfeli.
Portfel Trezor One to jeden z najbezpieczniejszych portfeli fizycznych, jakie istnieją na świecie Trezor Model T Jest to portfel nowej generacji, który obiecuje znaczną poprawę komfortu użytkowania. Dzieje się tak dzięki nowoczesnemu i intuicyjnemu interfejsowi użytkownika, bardzo prostemu w obsłudze.
Jednak niedawno odkryto lukę w zabezpieczeniach protokołu SegWit, która może zagrozić i wpłynąć na transakcje dokonywane za pomocą tych portfeli. Co może umożliwić atakującym wymianę adresów transakcji, gdy użytkownik dokonuje przelewu. Dokonanie oszustwa polegającego na wysłaniu przez użytkownika środków na nieprawidłowy adres.
Luka została wykryta przez Saleema Rashida, znany haker i pasjonat kryptografii i systemów zaufanych, jak poinformował dyrektor generalny firmy Trezor Pavol Rusnak w swoim reklama. Wyjaśnił także wszystkie szczegóły luki wykrytej przez tego użytkownika oraz nowe aktualizacje dostępne dla portfeli Trezor.
W tym sensie, Wersja 2.3.1 jest dostępny do aktualizacji portfeli Trezor One Wersja 1.9.1 Jest dostępny do aktualizacji portfeli Trezor Model T.
Może Cię zainteresować: Portfel Wasabi na celowniku Europolu i Chainalytic: kolejny atak na prywatność
W Bitcoin SegWit wykryto lukę
Wykryty błąd w protokole Bitcoin SegWit może zagrozić środkom wydanym na transakcje dokonywane z portfeli lub usług wdrażających to rozwiązanie. Luka umożliwiająca atakującym wysłanie komunikatu o błędzie z prośbą o potwierdzenie od użytkownika. Aby móc ponownie przeprowadzić operację. Ale w którym możliwa jest wymiana zapisów transakcji, aby wydać większość środków przesłanych w postaci prowizji.
Aby wyjaśnić tę lukę, programiści Satoshi Labs przytoczyli przykład, który określa, co następuje:
Użytkownik posiada 20 BTC i chce dokonać transakcji w SegWit, aby wysłać 15 BTC. Zatem jedną transakcję potwierdzasz za 15 BTC, a drugą za 5 BTC plus prowizja. Co pozostawiłoby drugi wpis jako 5,00001 BTC.
Teraz szkodliwe oprogramowanie wysyła do użytkownika komunikat o błędzie, wskazujący, że operacja nie mogła zostać ukończona. Dlatego prosi o potwierdzenie, aby móc ponownie przeprowadzić transakcję. W tym momencie złośliwe oprogramowanie zamienia adresy; pozostawiając transakcję wysyłkową z BTC prowizji, a drugą z BTC za przesyłkę.
Ponieważ jednak jest to odzwierciedlone w identyczny sposób w portfelu i z tymi samymi wynikami, użytkownik może zostać oszukany, myśląc, że potwierdza początkową transakcję. Dlatego też, potwierdzając transakcję ponownie, użytkownik płaci prowizję w wysokości 15 BTC i wysyła tylko 0,00001 BTC. Wydatkowanie większości środków na płacenie górnikowi prowizji.
Prawdopodobieństwo sukcesu
Teraz, aby ten atak mógł zostać przeprowadzony pomyślnie, atakujący musi zarządzać górnikiem w sieci Bitcoin. Co więcej, aby otrzymać prowizję, musi to być ten górnik wydobywający blok, w którym transakcja zostanie uwzględniona.
Dlatego chociaż atak można przeprowadzić, prawdopodobieństwo jego przeprowadzenia jest w rzeczywistości bardzo niskie. Aspekt, dla którego twórcy uważają go za lukę o mniej więcej niskiej wadze. Ponadto podkreślają, że rozwiązanie tego problemu jest dość proste i że jest to coś, co jest wdrażane w nowych aktualizacjach dostępnych dla portfeli Trezor.
Rozwiązanie to polega na weryfikacji portfela i ponownej walidacji poprzednich transakcji przed wysłaniem nowych. Podobnie jak w przypadku transakcji innych niż SegWit, jak stwierdzono w oświadczeniu.
„Rozwiązanie jest proste: musimy postępować z transakcjami Segwit w taki sam sposób, jak transakcje inne niż Segwit. Oznacza to, że musimy zażądać i zweryfikować kwoty UTXO z poprzednich transakcji. Właśnie to wprowadzamy w wersjach oprogramowania 2.3.1 i 1.9.1.”
Rozwiązanie strony trzeciej
Chociaż to rozwiązanie jest łatwe do zastosowania w przypadku portfeli Trezor, nie jest to łatwe dla osób trzecich, które wchodzą w interakcję z tymi portfelami fizycznymi. Tak jest w przypadku portfela prywatnego Wasabi i zdecentralizowanego serwera płatności BTCpay. Dlatego twórcy tych rozwiązań wezwali użytkowników, aby nie aktualizowali oprogramowania sprzętowego do czasu rozwiązania problemów ze zgodnością.
Podobnie zespół Satoshi Labs wskazał, że nie ujawnił luki ze względu na odpowiedzialny proces, któremu podlega firma. Dlatego też sprecyzował, że:
„Dlatego opublikowanie tej poprawki zajęło nam więcej czasu niż zwykle, ponieważ przestrzegaliśmy skoordynowanych zasad ujawniania informacji”.
Dlatego niektórzy dostawcy portfeli sprzętowych zażądali 90 dni na wdrożenie rozwiązania i utworzenie odpowiednich aktualizacji.
Tymczasem dostawca usług BTCpay rozważa wyłączenie Trezora ze swoich usług. Wskazując, że oferowana przez nią usługa nie przechowuje wszystkich danych blockchain, ale po prostu wykorzystuje niezbędne dane z sieci Bitcoin, aby zapewnić użytkownikom łatwość i szybkość. Dlatego szacuje, że nie będzie w stanie zintegrować schematów weryfikacji transakcji Trezora.
Kontynuuj czytanie: Mówiąc o Bitcoinie i jego krzywej wzrostowej
