Пользователи Trezor могут потерять доступ к биткоинам при взаимодействии с Wasabi и BTCPay

Пользователи Trezor могут потерять доступ к биткоинам при взаимодействии с Wasabi и BTCPay

06.06.2020
0
Евгений Петлин

Производитель аппаратных крипто-кошельков Trezor на этой неделе представил обновлённую прошивку. Она содержит исправление уязвимости при осуществлении биткоин-транзакций с использованием технологии SegWit. Хотя активы пользователей Trezor теперь защищены от этой уязвимости, они по-прежнему могут потерять доступ к ним, по крайней мере временно, из-за другого проявившегося бага. Об этом пишет Decrypt.

Проблема возникает при взаимодействии Trezor с некоторыми сторонними сервисами, такими как кошелёк Wasabi или платёжный процессинг BTCPay, и ведёт к блокировке активов. Разработчики Wasabi просят своих пользователей не обновлять прошивку, пока аналогичный патч не будет запущен в их собственном сервисе.

Исследователь проблем безопасности Салим Рашид обнаружил эксплойт около трёх месяцев назад и сообщил о нём крупным производителям аппаратных кошельков, в том числе Trezor и Ledger. Сама атака отличается высокой сложностью исполнения. Использующий SegWit держатель биткоина должен скачать вредоносное ПО. Затем он, к примеру, отправляет транзакцию с двумя выходами на 10 и 5,0001 BTC. Общая сумма транзакции составляет 15 BTC, комиссии – 0,0001 BTC. После этого он получает сообщение об ошибке, в котором его просят подписать транзакцию повторно. На данном этапе злоумышленник меняет выходы таким образом, чтобы сумма транзакции составляла 0,0001 BTC, а комиссии – 15 BTC.

Другими словами, для извлечения выгоды из этой атаки злоумышленник должен быть майнером и добыть нужный блок. Пользователю же потребуется отправить транзакцию с более чем одним выходом и скачать вредоносное ПО. Производители аппаратных кошельков ColdCard, которых Рашид не уведомил о проблеме, заявили, что эксплойт обладает низким уровнем серьёзности, тогда как его исправление может привести к существенным нарушениям в функционировании кошелька.

Производитель Trezor сообщил: «Trezor не сможет подписывать транзакции при использовании некоторых сторонних инструментов, пока они не проведут обновление для корректной работы. В силу процесса ответственного раскрытия информации мы не могли уведомить об этом обслуживающие их команды заранее».

Основатель Wasabi Адам Фиксор заявил, что «последствия обновления прошивки Trezor, ведущей к ограничению доступа пользователей к кошельку [Wasabi], являются более проблематичными, чем сама атака», но не винит компанию «за чрезмерную осторожность».

Основатель BTCPay Server Николас Дорье считает, что производителю следовало дать 1-2 месяца для того, чтобы пользователи переместили свои активы. Он также допустил, что BTCPay придётся отказаться от поддержки Trezor и других аппаратных кошельков, которые полагаются на аналогичную схему проверки транзакций, так как пользователи сервиса используют ограниченные версии нод и не хранят всю необходимую информацию.

«Если вы используете Trezor и обновили прошивку, то не сможете больше выводить деньги со своего кошелька через BTCPay Server. Мы не можем исправить проблему, так как у нас нет данных, которые запросит Trezor. Мы рекомендуем вам либо дождаться изменения решения Trezor, либо сменить аппаратный кошелёк, если вы хотите пользоваться BTCPay Server, либо переключиться на имплементацию горячего кошелька в BTCPay Server», – сообщили разработчики BTCPay.


Подписаться
Уведомить о
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x