Новая прошивка Trezor содержит баг, способный привести к блокировке средств

garryncha

Выпущенная на этой неделе новая прошивка аппаратного кошелька Trezor направлена на устранение уязвимости при осуществлении SegWit-транзакций, однако, как выяснилось, содержит другой баг. Из-за него пользователи могут потерять доступ к своим биткоинам, пишет Decrypt.

Угроза возникает при взаимодействии Trezor со сторонними сервисами, включая десктопный кошелек Wasabi и процессинг BTCPay.

Уязвимость, о которой идет речь, около трех месяцев назад обнаружил исследователь Салим Рашид. О нем он сообщил производителям популярных аппаратных кошельков, включая Trezor и Ledger.
Как пишут разработчики Trezor, идентифицированный вектор атаки довольно сложен и предполагает, что при осуществлении SegWit-транзакции пользователь должен установить вредоносное ПО. Следующим шагом он, например, отправляет транзакцию с двумя входами на 10 и 5,0001 BTC. Общая сумма транзакции составляет 15 BTC, размер комиссии – 0,0001 BTC. После этого пользователь получает сообщение об ошибке с просьбой повторно подписать транзакцию повторно. На данном этапе злоумышленник меняет входы таким образом, что сумма транзакции составляет 0,0001 BTC, а размер комиссии – 15 BTC.

Чтобы трюк сработал, злоумышленнику не только необходимо самому быть майнером, но и добыть при этом нужный блок.

Производителя аппаратного кошелька ColdCard Рашид по какой-то причине не уведомил об уязвимости, однако его разработчик NVK в комментарии Decrypt заявил о низком уровне ее серьезности. В то же время он отметил, новый апдейт может нарушить взаимодействие устройства с другим ПО.

CEO Trezor Павол Руснак тем временем заявил, что решение проблемы достаточно простое: SegWit-транзакции необходимо расценивать точно так же, как и все другие, что подразумевает валидирование всех предыдущих транзакций перед отправкой новых.

Но, даже если Trezor и считает решение простым, это не означает полное устранение проблемы для тех пользователей кошелька, которые доверяют ему взаимодействие с некоторым сторонним ПО.

casio

ну вот вам и хвалебные качества холодных кошельков аппаратных.

CryptoMax

Участник @casio написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

ну вот вам и хвалебные качества холодных кошельков аппаратных.

а если бы ещё кто-то сумел таки воспользоваться описанным изъяном.)

casio

Участник @cryptomax написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

Участник @casio написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

ну вот вам и хвалебные качества холодных кошельков аппаратных.

а если бы ещё кто-то сумел таки воспользоваться описанным изъяном.)

ну его думаю скоро модернизируют и упростят.

Ivan Ivanov

@cryptomax в том и дело, что иногда найти баг очень трудно, поэтому считают, что его нет.

casio

Участник @ivan-ivanov написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@cryptomax в том и дело, что иногда найти баг очень трудно, поэтому считают, что его нет.

этот баг из за всяких действий и обновок возник как бы

Ivan Ivanov

@casio из-за этого тоже, но бывают и изначальные, которые не учтены при написании кода.

casio

Участник @ivan-ivanov написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@casio из-за этого тоже, но бывают и изначальные, которые не учтены при написании кода.

Все эти аппаратники просто большая дыра как бы

garryncha

@ivan-ivanov Видно QA у них не лучшим образом работает.

Limon1986

@casio Я вот никогда не пользовался Trezor если честно и как то даже нет желания)

casio

Участник @limon1986 написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@casio Я вот никогда не пользовался Trezor если честно и как то даже нет желания)

ну его как бы и покупать нужно за реальные деньги ...

Ivan Ivanov

@casio но их же используют и достаточно активно.

casio

Участник @ivan-ivanov написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@casio но их же используют и достаточно активно.

ну это не значит , что их завтра не вскроют или какие то другие проблемы не возникнут.

Ivan Ivanov

@casio если бы все было так серьезно, то уже бы были массовые кражи.

casio

Участник @ivan-ivanov написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@casio если бы все было так серьезно, то уже бы были массовые кражи.

ну кража завтра будет к примеру .... а сегодня тишь да гладь ...

Ivan Ivanov

@casio на этих кошельках хранятся огромные суммы и если что-то было бы, то уже давно все вывели бы.

casio

Участник @ivan-ivanov написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@casio на этих кошельках хранятся огромные суммы и если что-то было бы, то уже давно все вывели бы.

завтра может просто контора закрыться и ноды свои отключит.

Limon1986

Участник @casio написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

Участник @limon1986 написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@casio Я вот никогда не пользовался Trezor если честно и как то даже нет желания)

ну его как бы и покупать нужно за реальные деньги ...

Ну понятно что в итоге придется вкладывать фиат, вот вы с ним работаете?

casio

Участник @limon1986 написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

Участник @casio написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

Участник @limon1986 написал в Новая прошивка Trezor содержит баг, способный привести к блокировке средств:

@casio Я вот никогда не пользовался Trezor если честно и как то даже нет желания)

ну его как бы и покупать нужно за реальные деньги ...

Ну понятно что в итоге придется вкладывать фиат, вот вы с ним работаете?

нет не работаю ... я лучше на этот фиат, тот же биткойнчик прикуплю.

Ivan Ivanov

@casio да-да, завтра, послезавтра, но ничего не случается.