Выпущенная на этой неделе новая прошивка аппаратного кошелька Trezor направлена на устранение уязвимости при осуществлении SegWit-транзакций, однако, как выяснилось, содержит другой баг. Из-за него пользователи могут потерять доступ к своим биткоинам, пишет Decrypt.
Угроза возникает при взаимодействии Trezor со сторонними сервисами, включая десктопный кошелек Wasabi и процессинг BTCPay.
Уязвимость, о которой идет речь, около трех месяцев назад обнаружил исследователь Салим Рашид. О нем он сообщил производителям популярных аппаратных кошельков, включая Trezor и Ledger.
Как пишут разработчики Trezor, идентифицированный вектор атаки довольно сложен и предполагает, что при осуществлении SegWit-транзакции пользователь должен вредоносное ПО. Следующим шагом он, например, отправляет транзакцию с двумя входами на 10 и 5,0001 BTC. Общая сумма транзакции составляет 15 BTC, размер комиссии – 0,0001 BTC. После этого пользователь получает сообщение об ошибке с просьбой повторно подписать транзакцию повторно. На данном этапе злоумышленник меняет входы таким образом, что сумма транзакции составляет 0,0001 BTC, а размер комиссии – 15 BTC.
Чтобы трюк сработал, злоумышленнику не только необходимо самому быть майнером, но и добыть при этом нужный блок.
Производителя аппаратного кошелька ColdCard Рашид по какой-то причине не уведомил об уязвимости, однако его разработчик NVK в комментарии Decrypt заявил о низком уровне ее серьезности. В то же время он отметил, новый апдейт может нарушить взаимодействие устройства с другим ПО.
CEO Trezor Павол Руснак тем временем заявил, что решение проблемы достаточно простое: SegWit-транзакции необходимо расценивать точно так же, как и все другие, что подразумевает валидирование всех предыдущих транзакций перед отправкой новых.
Но, даже если Trezor и считает решение простым, это не означает полное устранение проблемы для тех пользователей кошелька, которые доверяют ему взаимодействие с некоторым сторонним ПО.
«Trezor не сможет подписывать транзакции при помощи этих инструментов, пока они не будут обновлены для корректной работы. В силу процесса ответственного раскрытия информации мы не могли уведомить об этом обслуживающие их команды заранее», — заявили представители чешской компании.
В числе этих сервисов ориентированный на приватность пользователей кошелек Wasabi, который был интегрирован в Trezor в прошлом году. Его основатель и технический директор Адам Фичор уже обратился к пользователям с рекомендацией воздержаться от установки прошивки Trezor до тех пор, пока уязвимость не будет устранена.
По словам Фичора, последствия обновления прошивки Trezor, ведущей к ограничению доступа пользователей к кошельку, являются более проблематичными, чем сама атака, однако он не винит компанию за чрезмерную осторожность.
Основатель BTCPay Server Николас Дорье считает, что Trezor следовало не спешить с выпуском прошивки и отвести пользователям месяц или два на перемещение активов. Он не исключил, что BTCPay откажется поддержки Trezor и других аппаратных кошельков, которые полагаются на аналогичную схему проверки транзакций, так как пользователи сервиса используют урезанные версии нод и не хранят всю необходимую информацию.
В своем Twitter представители сервиса написали:
«Если вы используете Trezor и обновили прошивку, то не сможете больше выводить деньги со своего кошелька через BTCPay Server. Мы не в состоянии исправить проблему, так как у нас нет данных, которые запросит Trezor. Мы рекомендуем либо дождаться изменения решения Trezor, либо сменить аппаратный кошелек, если вы хотите пользоваться BTCPay Server, либо переключиться на имплементацию горячего кошелька в BTCPay Server».
Тем временем сооснователь Trezor Марек ‘Slush’ Палатинус подчеркнул, что подтвержденных случаев блокировки средств нет. Выразив надежду, что ситуация вскоре будет разрешена, он отметил, что благодаря совместимости BIPs пользователи могут управлять средствами в других кошельках, которые не имеют такого строгого интерфейса, как у BTCPay, например Electrum или Trezor Wallet
Напомним, в январе специалисты Kraken Security Labs нашли в аппаратных кошельках Trezor критическую уязвимость, открывающую при физическом доступе к устройству возможность извлечения seed-фразы в течение 15 минут.
Подписывайтесь на наши группы в Вконтакте и Telegram и остовайтесь в курсе новостей.
