本周发布的新型Trezor硬件钱包固件旨在消除SegWit交易中的漏洞,但是事实证明,它包含一个不同的错误。因此,Decrypt写道,用户可能无法访问其比特币。 当Trezor与第三方服务(包括Wasabi桌面钱包和BTCPay处理)进行交互时,就会出现这种威胁。 研究人员Salim Rashid在大约三个月前发现了该漏洞。他向包括Trezor和Ledger在内的流行硬件钱包制造商介绍了这一过程。
根据Trezor开发人员的说法,识别出的攻击媒介非常复杂,表明用户在实施SegWit交易期间需要恶意软件。例如,下一步,它在10和5.0001 BTC处发送带有两个输入的事务。总交易金额为15 BTC,佣金大小为0.0001 BTC。之后,用户收到一条错误消息,要求他再次重新签署交易。在此阶段,攻击者以这样的方式更改输入,即交易金额为0.0001 BTC,费用为15 BTC。 为了使技巧起作用,攻击者不仅自己必须是矿工,而且还必须获得必要的封锁。 硬件钱包ColdCard Rashid的制造商出于某种原因未通知该漏洞,但是其开发商NVKDecrypt在评论中说,其严重性很低。同时,他指出,新的更新可能会破坏设备与其他软件的交互。 CEO Trezor帕沃尔·鲁斯纳克同时,他表示解决问题的方法非常简单:隔离见证交易必须与所有其他交易一样对待,这意味着在发送新交易之前必须先验证所有先前的交易。 但是,即使Trezor认为该解决方案很简单,对于那些信任他与某些第三方软件进行交互的钱包用户来说,这也不意味着完全消除了该问题。
这些服务中有Wasabi钱包,这是一种以用户为中心的钱包,去年已集成到Trezor中。其创始人兼技术总监亚当·菲科尔(Adam Fichor)已经向用户提出了建议,建议其在修复漏洞之前不要安装Trezor固件。
根据Fichor的说法,更新Trezor固件的后果(导致限制用户对钱包的访问)比攻击本身更具问题,但他并没有责怪该公司过于谨慎。 BTCPay服务器的创始人尼古拉斯·多里尔相信Trezor不应着急发布固件并给用户一两个月的时间来转移资产。他不排除BTCPay会拒绝对Trezor和其他硬件钱包的支持,后者依赖于类似的交易验证方案,因为服务用户使用精简的节点版本,并且不会存储所有必要的信息。 服务代表在其Twitter上写道:
同时,联合创始人TrezorMarek’Slush’Palatinus强调没有确认的资金冻结案例。他表示希望很快解决这种情况,他指出,由于BIP的兼容性,用户可以在没有BTCPay这样严格接口的其他钱包中管理资金,例如Electrum或Trezor Wallet
回想一下,在一月份,Kraken Security Labs的专家在Trezor硬件钱包中发现了一个严重漏洞,这使得在物理访问设备的情况下在15分钟内提取种子短语成为可能。
—- 原文链接:https://forklog.com/novaya-proshivka-trezor-soderzhit-bag-sposobnyj-privesti-k-blokirovke-sredstv/ 原文作者:ForkLog 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
新的Trezor固件包含可能导致资金冻结的错误
2020-06-06 wanbizu AI 来源:区块链网络
LOADING...
相关阅读:
- 卡尔达诺的查尔斯·霍斯金森(Charles Hoskinson)返回最新消息:IOG池,2020-08-02
- 【抽奖】送CKB,CKB=BTC+ETH2020-08-02
- 如何参与Defi奖励网络BDAO?目前Staking分红每日1%~2%2020-08-02
- 读完这篇文章你就知道MYKEY网络费是坑还是香2020-08-02
- ETTH又双叒叕大涨了,彻底疯了!但老铁你千万别疯,稳不住就完了!2020-08-02