资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
我的关注
Trezor固件更新引发兼容性问题
总部位于捷克的比特币硬件钱包Trezor于两天前发布了固件更新。此次更新旨在修复使用Segwit协议钱包可能存在的漏洞——Segwit协议是一种能够降低比特币交易成本并减少数据量的交易优化方案。然而,尽管Trezor已经修复了其钱包的漏洞,但这次更新却给依赖该钱包与其他比特币相关软件(如注重隐私的Wasabi钱包和比特币技术栈BTCPay)交互的用户带来了新的问题。
更新问题与用户建议
根据漏洞修复的方式,使用Trezor与Wasabi和/或BTCPay进行交互并更新固件的用户可能会被锁定资金。因此,Wasabi和BTCPay建议用户在固件更新与其软件之间的兼容性问题解决之前,暂时不要进行更新。
三个月前,独立黑客Saleem Rashid发现了这个漏洞(这是他众多比特币硬件/软件漏洞发现中的最新一个),并向包括Trezor和Ledger在内的主要硬件钱包制造商进行了披露。随着固件更新的发布,Trezor已经在其端修复了这个漏洞。
然而,这个被开发者认为难以利用的漏洞,由于Trezor在第三方钱包集成中的广泛使用(例如,该硬件钱包可以连接到流行的隐私钱包Wasabi和比特币支付门户BTCPay Server),使得Trezor成为了关注的焦点。
漏洞细节与攻击方式
根据Trezor的描述,这个漏洞的严重程度取决于硬件钱包和软件钱包开发者的具体情况,它开启了以下攻击途径:
运行Segwit的比特币用户从攻击者那里下载了特定的恶意软件。受害者随后开始一笔包含两个“输入”(即部分)的交易:一个输入为10 BTC,另一个为5.0001 BTC,因此交易总额为15 BTC,手续费为0.0001 BTC。在确认交易时,用户会收到一条错误消息,要求他们再次签名。攻击者随后切换交易输入,使得一个输入为15 BTC,另一个为0.0001 BTC。
通过这种切换,现在15 BTC成为了交易手续费,而0.0001 BTC成为了交易金额。但是,为了使这种攻击得逞,攻击者必须是一名矿工,并且恰好正在挖掘包含该交易的区块。受害者还必须花费一笔包含多个输入的交易,并下载矿工的恶意软件。换句话说,要使这种攻击成功,需要满足许多条件。
未被通知该漏洞的ColdCard硬件钱包制造商NVK表示,这种攻击的“严重性较低”,并补充说,更新硬件钱包可能会“破坏硬件钱包与其他钱包软件的交互”。
修复方案与兼容性问题
Trezor表示,他们保持了修复的简洁性。Trezor首席执行官Pavol Rusnak在一份声明中解释道:“修复方案很简单——我们需要以与非Segwit交易相同的方式处理Segwit交易。”这涉及钱包在发送新交易之前检查和重新验证其所有先前的交易。
然而,如果修复对Trezor来说很容易,但这并不意味着它完全解决了依赖该钱包与其他软件交互的Trezor用户的问题。例如,修复方案(让Segwit钱包检查和重新验证旧交易)不适用于某些“第三方工具”。Trezor在帖子中表示:“在这些工具更新以正确工作之前,Trezor将无法使用这些工具签署交易。由于负责任的披露流程,我们无法事先通知维护者。”
受影响的第三方之一是注重隐私的Wasabi钱包,该钱包去年与Trezor进行了集成。其创始人Adam Fiscor在Twitter上宣布,Wasabi用户在“兼容性问题”解决之前不应更新其固件。
Fiscor通过电子邮件告诉Decrypt,在他看来,“Trezor用户被锁定在[Wasabi]钱包之外的固件更新后果比攻击本身更成问题”,虽然他同意“NVK的评估”,但他并不责怪Trezor“过于谨慎”。
开源BTCPay Server的创始人兼负责人Nicolas Dorier告诉Decrypt,他希望Trezor能提供“1-2个月的过渡期,以便用户有时间迁移他们的资金”。
BTCPay Server是一个去中心化的比特币支付处理器,包含诸如Lightning网络等附加功能,并且自去年起与Trezor硬件钱包集成。
Dorier表示,他的服务可能需要放弃对Trezor和需要交易检查方案的硬件钱包的支持,因为BTCPay Server用户并不存储所有区块链数据;他们运行所谓的“修剪”节点,这些节点仅存储与使用BTCPay服务与比特币网络交互所需的数据(这使得下载和运行BTCPay更加快速和简便)。
因此,与Wasabi一样,BTCPay也敦促其用户不要更新,以免他们的资金被锁定在服务中。只要用户运行的是旧版本的Trezor,他们就应该能够顺利移除资金。他们还可以通过种子短语(在钱包损坏或丢失时充当主密钥的备份短语)在另一个未修补的硬件钱包上或作为BTCPay实例上的新钱包来恢复他们的钱包。
目前,建议使用Wasabi和BTCPay的Trezor用户暂时保持现状,并在更新之前转移他们的资金。
