باگی در پروتکل تراکنش های بیت کوین سگویت میتواند مورد سو استفاده قرار بگیرد تا کاربران کیف پول سخت افزاری را به ارسال بیت کوین به آدرس های اشتباه فریب دهد.
کیف پول بیت کوین ترزور (Trezor) به روزرسانی فرمویر (Firmware) خود را دو روز قبل عرضه کرد. این به روزرسانی در پاسخ به نفوذپذیری بالقوه برای کیف پول هایی است که از پروتکل سگویت استفاده میکنند و اصلاحیه است که تراکنش های ارزانتر و کم حجم تر بیت کوین را امکان پذیر میسازد.
اما اگرچه ترزور کیف پول خود را به روزرسانی کرده است، اما کاربران ترزور که برای تعامل با سایر نرم افزارهای مرتبط با بیت کوین نظیر کیف پول واسابی (Wasabi) و اکوسیستم BTCPay متکی هستند هم چنان با مشکلاتی روبرو میباشند.
کاربران ترزور پس از به روزرسانی و استفاده از ترزور با واسابی یا BTCPay دسترسی به سرمایه های خود را از دست میدهند. واسابی و BTCPay کاربران خود را ملزم به عدم انجام این به روزرسانی کرده اند تا مشکل پشتیبانی این به روزرسانی فرمویر و نرم افزارهای آنها برطرف شود.
آسیب پذیری مورد نظر
سلیم رشید (Saleem Rashid) هکر مستقل و برجسته، یک آسیب پذیری را تقریبا ۳ ماه قبل کشف کرد و آن را به اطلاع ارائه دهندگان بزرگ کیف پول سخت افزاری نظیر ترزور و لجر رساند. ترزور با به روزرسانی اخیر، این آسیب پذیری را برطرف کرد.
اما این آسیب پذیری که به گفته توسعه دهندگان، اکسپلویت آن دشوار خواهد بود ترزور را به دلیل محبوبیتی که دارد در صدر توجهات قرار داد. این کیف پول سخت افزاری میتواند به کیف پول محبوب واسابی و پورتال پرداخت بیت کوین BTCPay متصل شود.
باگ مورد نظر که به گفته توسعه دهندگان کیف پول های سخت افزاری و نرم افزاری مهم تر از باگ های گذشته است، فرصت های حمله زیر را به وجود میآورد:
کاربر بیت کوین که در حال اجرای سگویت است، بدافزار مشخصی را از حمله کننده دانلود میکند. سپس این کاربر تراکنشی با دو ورودی شروع میکند: یک ورودی برای ۱۰ بیت کوین و ورودی دیگر برای ۵.۰۰۰۱ بیت کوین میباشد و مجموع تراکنش ۱۵ بیت کوین و ۰.۰۰۰۱ بیت کوین کارمزد است. پس از تایید تراکنش، کاربر با پیغام خطایی مواجه میشود که از او میخواهد تراکنش را مجددا امضا کند. سپس حمله کننده ورودی های تراکنش را تغییر میدهد و یک ورودی ۱۵ بیت کوین و ورودی دیگر ۰.۰۰۰۱ بیت کوین میشود.
با وجود این تغییر در ورودی ها، اکنون ۱۵ بیت کوین کارمزد تراکنش و ۰.۰۰۰۱ بیت کوین خود تراکنش است. اما برای آنکه چنین موضوعی رخ دهد، حمله کننده باید ماینری باشد که همان بلاکی را استخراج کند که تراکنش در آن وجود دارد. قربانی نیز باید تراکنشی با بیش از یک ورودی خرج کند و بدافزار ماینر را نیز دانلود کرده باشد. به عبارت دیگر، موارد بسیار زیادی باید برقرار شود تا این حمله صورت بگیرد.
شرکت NVK ارائه دهنده کیف پول سخت افزاری ColdCard که از این آسیب پذیری مطلع نشده بود، بیان کرد که احتمال وقوع حمله بسیار کم است. این شرکت افزود که به روزرسانی کیف پول های سخت افزاری ممکن است تعامل کیف پول سخت افزاری با سایر کیف پول های نرم افزاری را با مشکل مواجه کند.
کیف پول ترزور اعلام کرد که رفع این مشکل را به سادگی انجام می دهد. پاول روسناک (Pavol Rusnak) در بیانیه ای گفت:
این اصلاحیه کاملا ساده است. ما باید با تراکنش های سگویت دقیقا همانند تراکنش های غیر سگویت مواجه شویم. این موضوع شامل بررسی کیف پول و تایید دوباره تمام تراکنش های قبلی پیش از ارسال تراکنش جدید میباشد.
آسیب های جانبی
در عین حال، اگرچه برطرف کردن این مشکل برای ترزور آسان است اما بدان معنا نیست که این مشکل را به طور کامل برای کاربرانی که برای تعامل با کیف پول های دیگر از ترزور استفاده میکنند برطرف نمیکند. برای مثال این اصلاحیه با بعضی از ابزارهای شخص ثالث کار نمیکند.
شرکت ترزور بیان کرد:
تا زمانی که این ابزارها به روزرسانی نشوند، ترزور نخواهد توانست تراکنش هایی که از این ابزارها استفاده میکنند را امضا کند.
یکی از ابزارهایی که تحت تاثیر این موضوع قرار گرفته است کیف پول واسابی میباشد که سال گذشته با ترزور همگام سازی شده است. آدام فیسکور (Adam Fiscor) موسس واسابی در توییتر بیان کرد که کاربران واسابی نباید فرمویر خود را به روزرسانی کنند تا این مشکل برطرف شود.
فیسکور در ایمیلی به Decrypt گفت که وی معتقد است عواقب این به روزرسانی فرمویر که کاربران ترزور را از کیف پول واسابی بیرون میاندازد مشکل آفرین تر از خود حمله است. وی ترزور را برای محتاط بودن بیش از حد مقصر نمیداند.
نیکلاس دوریر (Nicolas Dorier) موسس و رییس BTCPay به Decrypt گفت که وی مایل است تا به ترزور یک دوره انتقال یک الی دو ماهه پیشنهاد کند تا کاربران زمان کافی برای انتقال سرمایه خود داشته باشند.
اکوسیستم BTCPay Server یک پردازشگر پرداخت غیرمتمرکز بیت کوین است که ویژگی های جدیدی نظیر شبکه لایتنینگ و همگام سازی با ترزور را به خدمات خود اضافه کرده است.
دوریر گفت که خدمات شرکت او احتمالا باید پشتیبانی از ترزور و کیف پول های سخت افزاری که به طرح بررسی تراکنش ها نیاز دارند را کنار بگذارد زیرا کاربران BTCPay Server تمام اطلاعات بلاک چین را ذخیره نمیکنند. آنها نودهای کوچکی را اجرا میکنند که فقط اطلاعات مورد نیاز برای استفاده از خدمات BTCPay در شبکه بیت کوین را ذخیره میکنند.
همانند واسابی، BTCPay نیز کاربران خود را ملزم کرده است تا این به روزرسانی را انجام ندهند، وگرنه سرمایه آنها در این سرویس مسدود خواهد شد. تا زمانی که کاربران نسخه قدیمی تر ترزور را اجرا کنند، هیچ مشکلی نخواهند داشت. آنها میتوانند کیف پول های خود را با استفاده از عبارت های سید بازیابی کنند.
در حال حاضر، به کاربران ترزور در واسابی و BTCPay توصیه میشود تا سرمایه های خود را قبل از به روزرسانی انتقال دهند.
