Segwit'teki Güvenlik Açığı Kullanıcıların Fonlarını Etkiledi

Segwit'teki Güvenlik Açığı Kullanıcıların Fonlarını Etkiledi

Bir hacker tarafından duyurulan Segwit'teki güvenlik açığı, kullanıcıların fonlarını kullanmalarıyla ilgili birtakım sorunlara neden oldu.

Özetle:

  • Bir hacker, Segwit protokolündeki kullanıcıların Bitcoin'lerini yanlış adrese göndermelerine neden olabilecek boyutta bir hatayı duyurdu.

Çek merkezli Bitcoin donanım cüzdanı Trezor iki gün önce bir ürün yazılımı güncellemesi yayınladı. Yama, daha ucuz ve daha az veri ağırlıklı Bitcoin işlemlerini mümkün kılan Segwit protokolünü kullanan cüzdanlar için söz konusu olan güvenlik açığına çözüm olarak geliştirildi. 

Ancak Trezor cüzdanlarını yamalamış olsa da cüzdanına güvenen Trezor kullanıcıları için gizlilik odaklı Wasabi cüzdanı ve Bitcoin teknoloji yığını BTCPay gibi diğer Bitcoin ile ilgili yazılımlarla etkileşimini sürdürüyor.

Güvenlik açığının yaması göz önüne alındığında, güncelleştirmeyi yapan ve Trezor'u Wasabi ve / veya BTCPay ile kullanan Trezor kullanıcılarının fonlarının kilitlenmesi bekleniyor. Wasabi ve BTCPay, ürün yazılımı güncellemesi ile yazılımları arasındaki uyumluluk sorunları çözülene kadar kullanıcıları güncelleme yapmamaları yönünde uyarıyor.


Güvenlik açığı

Bağımsız Hacker Saleem Rashid, üç ay önce güvenlik açığını (en son Bitcoin donanım / yazılım hata buluntularının en sonuncusu) keşfetti. Rashid, Trezor ve Ledger dahil olmak üzere büyük donanım cüzdan üreticilerine hatayı açıkladı. İndirilebilir bir ürün yazılımı güncellemesi ile Trezor, bu güvenlik açığını giderdi.

Ancak geliştiricilerin Decrypt'in istifade edilmesinin zor olacağını söylediği bu güvenlik açığı, üçüncü taraf cüzdan entegrasyonları (Örneğin donanım cüzdanı popüler gizlilik cüzdan Wasabi ve Bitcoin ödeme portalı BTCPay Server'e bağlanabilir.) ile olan popülerliği nedeniyle Trezor'a dikkat çekiyor.

Hata, Trezor'a göre aşağıdaki saldırı vektörlerini açıyor:

“Segwit çalıştıran bir Bitcoin kullanıcısı saldırgandan belirli bir kötü amaçlı yazılımı indirir. Mağdur, daha sonra iki “girdi” (yama) ile bir işleme başlar: bir girdi 10 BTC için, diğeri 5.0001 BTC içindir, bu nedenle işlem toplamı 0.0001 ücret karşılığında 15 BTC'dir. İşlem onaylandıktan sonra, kullanıcı tekrar imzalamalarını isteyen bir hata mesajı ile karşılaşır. Saldırgan daha sonra işlem girişlerini değiştirir, böylece bir giriş 15 BTC için ve diğeri 0.0001 içindir.”

Güvenlik açığından öncesinde haberdar olmadığını belirten ColdCard donanım cüzdanı üreticisi NVK, saldırı için “ciddiyetinin düşük” olduğunu belirterek donanım cüzdanlarının güncellenmesinin diğer cüzdan yazılımlarıyla “donanım cüzdanı etkileşimini bozabileceğini” açıkladı.

Kaynak: Twitter


Trezor tarafından düzeltmeyi basit tuttuklarına ilişkin bir açıklama geldi. Trezor CEO'su Pavol Rusnak bir açıklamada şu ifadeleri kullandı:

“Düzeltme basit- Segwit işlemleri ile Segwit dışı işlemlerde aynı şekilde başa çıkmalıyız.” 


Tamamlayıcı hasar

Trezor’un açıklamasına rağmen cüzdanına diğer yazılımlarla etkileşime girmede güvenen Trezor kullanıcıları için sorun çıkma ihtimali  bulunuyor.

Örneğin düzeltme (Segwit cüzdanlarının eski işlemleri kontrol edip yeniden doğrulaması) bazı “üçüncü taraf araçlarla” çalışmıyor. Şirketin paylaşımında şu ifadeler kullanılıyor:

“Trezor, düzgün çalışması için güncelleme gelene kadar bu araçlarda işlem imzalamayacak. İfşa sürecinden dolayı, koruyucuları önceden bilgilendiremedik.”

Trezor ile entegre olan gizlilik odaklı Wasabi cüzdanı Kurucusu Adam Fiscor, Twitter'den Wasabi kullanıcılarının “uyumluluk sorunları” çözülene kadar ürün yazılımlarını güncellememeleri gerektiğini açıkladı.

Kaynak: Twitter


Fiscor, Decrypt'e e-postayla yaptığı açıklamada, ürün yazılımı güncellemesinin sonuçlarının Trezor kullanıcılarının [Wasab] cüzdanının kilitli kalmasının sonuçlarının saldırının kendisinden daha sorunlu olduğunu söyledi.  Fiscor, şu ifadeleri kullandı:

“NVK'nın değerlendirmesi ile hemfikir.  Trezor'u aşırı temkinli olduğu için suçlamıyorum.”

Açık kaynaklı BTCPay Sunucusu'nun Kurucusu ve Başkanı Nicolas Dorier, Decrypt'ten kullanıcıların paralarını taşımak için zamanları verilmesi için Trezor'a 1-2 aylık bir geçiş süresi teklif etmesini istediğini söyledi.

Dorier, Lightning ağı ve geçen yıl itibarıyla Trezor ile donanım cüzdanı entegrasyonu gibi ek özellikler içeren merkezi olmayan bir Bitcoin ödeme işlemcisi olan BTCPay Server kullanıcıları tüm blokzincir verilerini saklamadığı için hizmetinin muhtemelen Trezor ve işlem kontrol şeması gerektiren donanım cüzdanları için destek bırakması gerektiğini söyledi.

Kaynak: Twitter


Wasabi gibi BTCPay da fonlarını hizmete kilitlenmemek için kullanıcılarını güncelleme yapmamaları için uyardı.

Wasabi ve BTCPay'daki Trezor kullanıcılarının güncellemeden önce fonlarını taşımasını tavsiye ediliyor.


Kaynak: https://decrypt.co/31463/bitcoin-segwit-bug-fix-could-lock-wallet-users-out-funds

Etiketler:

segwit wasabi trezor

Size ne düşünüyorsunuz

Yorum

Piyasanın korku & açgözlülük endeksi
Korku (Ko)
Açgözlülük (Aç)
  • 3 gün
  • Dün
  • Bugün
Detaylar İçin Tıklayın powered by : alternative.me

bfmedia/data

BTC $ 9213,2
XRP $ 0,1767
ETC $ 5,7717
ETH $ 228,99
ADA $ 0,0946
LTC $ 41,416
USDT $ 1,0006
TRX $ 0,0169
powered by : bittrex.com
Piyasanın korku & açgözlülük endeksi
Korku (Ko)
Açgözlülük (Aç)
  • 3 gün
  • Dün
  • Bugün
Detaylar İçin Tıklayın powered by : alternative.me

bfmedia/data

BTC $ 9213,2
XRP $ 0,1767
ETC $ 5,7717
ETH $ 228,99
ADA $ 0,0946
LTC $ 41,416
USDT $ 1,0006
TRX $ 0,0169
powered by : bittrex.com