不外,尽量Trezor给钱包更新了补丁,但这一裂痕仍然给Trezor用户带来了不少问题,因为这些用户依赖硬件钱包与其他与比特币相关的软件举办交互,好比专注隐私的Wasabi钱包和BTCPay。
受影响的第三方东西包罗了存眷隐私的Wasabi钱包,该钱包在去年与Trezor举办了整合。它的首创人Adam Fiscor在Twitter上公布,Wasabi的用户在钱经办理“兼容性问题”之前不该该更新固件。
开源的BTCPay Server的首创人和认真人Nicolas Dorier汇报Decrypt,他但愿Trezor提供“一到两个月的过渡期,这样用户就有时间转移他们的资金。”
有了这个切换配置,生意业务用度就酿成了15枚比特币,而生意业务金额却酿成了0.0001枚比特币。可是,要想得到乐成,进攻者必需要有矿机,并且矿机还能可巧挖出包括这笔生意业务的区块。另外,受害者还必需执行一次至少有两个输入的耗费生意业务,并下载矿工的恶意软件。换句话说,这一裂痕被操作并不容易。
因此,和Wasabi一样,BTCPay也在催促用户不要举办更新,以免他们的资金被锁定。只要用户运行的是较老版本的Trezor就不会有太大问题。另外,用户还可以拿另一个未举办更新的硬件钱包,通过助记词(在钱包损坏或丢失时充当钱包私钥的备份短语)规复钱包。
没有被奉告该裂痕的硬件钱包制造商NVK提到,针对裂痕提倡的进攻“并不是很严重”,可是更新硬件钱包大概会“粉碎硬件钱包与其他钱包软件之间的交互”。
断绝见证裂痕Trezor将不能利用这些第三方东西对生意业务举办签名,直到它们完成更新。由于需要对披露进程认真,我们无法提前通知相关维护者。
固然开拓者汇报Decrypt这个裂痕很难被操作,可是人们仍然很存眷Trezor的动态,这是因为Trezor在第三方钱包的集乐成能中很受接待,譬喻,硬件钱包可以毗连到风行的隐私钱包Wasabi和比特币付出派别BTCPay Server。
譬喻,这个补丁(让断绝见证钱包查抄并从头验证旧生意业务)在一些“第三方东西”上不起浸染。
BTCPay Server是一个去中心化的比特币付出处理惩罚器,它包罗一些附加成果,好比闪电网络,它在去年与Trezor的硬件钱包举办了集成。
今朝, Wasabi和BTCPay奉告利用其处事的Trezor用户不要着急,并提醒他们在钱包更新之前转移资金。
运行断绝见证的比特币用户从进攻者哪里下载特定的恶意软件。随后受害者执行一次带有两个“输入”的生意业务:一次输入为10枚比特币,另一次输入5.0001比特币,所以生意业务总共是15枚比特币,用度为0.0001枚比特币。在确认生意业务后,用户会碰着一条错误动静,要求他们再次签名。这时,进攻者就可以切换生意业务输入,一个输入是15枚BTC,另一个输入是0.0001枚比特币。
固然该裂痕已被修补,可是更新Trezor并利用Wasabi或BTCPay的Trezor用户将被锁定资金。Wasabi和BTCPay催促用户在Trezor的此次固件更新和钱包软件间的兼容性问题获得办理之前临时不要更新。
Trezor暗示它对这一裂痕举办了简朴修复。Trezor的首席执行官Pavol Rusnak在一份声明中表明道:
据Decrypt 5月6日报道,位于捷克的硬件钱包Trezor在两天前宣布了固件更新。这一更新是为了应对利用断绝见证(Segwit)协议的钱包的潜在威胁。断绝见证是一种使比特币生意业务更自制、上链数据更少的比特币生意业务。
约莫在三个月前,独立黑客Saleem Rashid发明白这个裂痕,并向包罗Trezor和Ledger在内的主要硬件钱包制造商披露了这个裂痕。有了可下载的固件更新,,Trezor就彻底办理了这个裂痕。修复裂痕会带来哪些问题
Fiscor通过电子邮件汇报Decrypt,在他看来,“固件更新导致Trezor用户的资金被Wasab钱包锁住的效果要比进攻自己更严重”,固然他同意NVK的概念,但他也能领略Trezor为什么“过于审慎的”处理惩罚这一裂痕。
本文经DecryptMedia.com授权翻译
Dorier说,他的处事大概需要打消对Trezor和硬件钱包的支持,因为BTCPay Server的用户不会存储上的所有数据;他们运行所谓的“轻”节点,只存储比特币网络利用BTCPay Server所需的数据,这使得下载和运行BTCPay越发快捷和容易。
按照硬件钱包和软件钱包开拓人员的说法,这一裂痕是否被操作取决与用户是否打开了以下进攻向量:
办理步伐很简朴,我们需要用处理惩罚断绝见证生意业务和非断绝见证生意业务同样的方法来处理惩罚这些生意业务。这包罗钱包在发送新的生意业务前查抄并从头验证之前的所有生意业务。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。