著名的硬件钱包品牌Trezor宣布已发布固件,该固件解决了影响某些类型的比特币交易的漏洞。 正如我们在公告中详细阅读的那样,版本1.9.1的Trezor One模型和版本2.3.1的Trezor模型T已更新。 所做的更改消除了Saleem Rashid发现的安全漏洞,该漏洞通过专用程序报告了正是这种发现类型的错误。 在继续解释他如何解决此漏洞之前,Trezor在帖子中说明了钱包如何要求检查先前交易的UTXO,以便检查地址的实际余额。 此检查用于防止希望发动攻击的任何人证明其UTXO余额低于实际余额。 实际上,进行交易的一部分会作为费用发送给矿工。该系统使您可以发现当前余额不是明显少于当前余额,而是发现先前发生的交易已完成。 详细而言,此漏洞利用了部分数据经过签名的SegWit(隔离见证)系统。通过利用两次SegWit交易,可以使受害者支付不成比例的费用,就像这样: 受害者有两个15 BTC和20 BTC SegWit / BIP-143 UTXO。 恶意软件要求用户确认输入为1的15 BTC和输入2的5.0000000001 BTC的交易,并由用户选择输出,并在必要时提供有效的修改输出 用户确认交易,花费20 BTC加上0.0000000001 BTC费用。 该恶意软件会引发错误,并告诉用户再次确认交易(例如“呃,哦!出了点问题,请重试”)。 恶意软件要求用户确认输入1为0.0000000001 BTC,输入2为20 BTC的交易,其输出与以前完全相同。 用户看到一个明显相同的交易,并再次确认费用为20 BTC加上0.0000000001 BTC的费用。 恶意软件使用来自第一笔交易的输入1的签名和来自第二笔交易的输入2的签名,创建一个交易,该交易有效地花费了输入1的15 BTC和输入2的20 BTC。 用户最终支付的交易费用略超过15 BTC。考虑到更新时间,Trezor会逐步进行,因此其他钱包也将能够更新和修复此类漏洞。 实际上,Web应用程序也需要更新为Connect v8。 例如,对于Electrum,Trezor本身将提供补丁,而其他基于PSBT的工具则必须修复相关服务器,例如Wasabi。 —- 原文链接:https://cryptonomist.ch/2020/06/04/trezor-risolto-vulnerabilita-bitcoin/ 原文作者:Alfredo de Candia 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
Trezor已修复比特币漏洞
2020-06-04 wanbizu AI 来源:区块链网络
LOADING...
相关阅读:
- 在不久的将来,持有一个ETH可能就像拥有比特币一样,是我们值得珍惜2020-08-01
- 死亡螺旋的AMPL又暴涨50%,王者回归?一文读懂AMPL类仿盘BDAO所有游戏规2020-08-01
- 分析:基于ETH的资产在2020年创下最高收益2020-08-01
- 为什么此DeFi交换是以太坊ERC-20代币的单程票?2020-08-01
- 三星通过MANA和XLM合作关系深入公共账本2020-07-31