Ein neues Update der Trezor-Hardware-Brieftasche friert Guthaben für Brieftaschen wie Electrum oder Wasabi ein. Der Grund dafür ist, dass Trezor einen möglichen, aber unwahrscheinlichen Angriff auf Transaktionen mit SegWit-Eingaben abschließt.

Manchmal ist das Medikament schlimmer als die Krankheit, die es heilen soll. Dies war anscheinend beim neuesten Firmware-Update für die Hardware-Brieftasche Trezor der Fall.

Benutzer, die die Trezor-Hardware im Hintergrund von Brieftaschen wie Electrum oder Wassabi und dem BTCPayServer verwenden, waren kürzlich schockiert, als sie feststellten, dass ihre Bitcoins eingefroren sind. "Ich benutze Electrum und kann keine Transaktion mehr unterschreiben", beschwert sich beispielsweise über einen Benutzer im Trezors Redditforum. "Der Bildschirm friert ein, wenn ich eine Transaktion mit Trezor signiere und eine seltsame kryptische Bytecode-Fehlermeldung erhalte."

Das Problem ist das neue Update der Trezor-Firmware . Sie sollten dies definitiv nicht importieren, wenn Sie Trezor in Verbindung mit einer anderen Brieftasche verwenden. Die neue Firmware schließt eine Sicherheitslücke, die der Hacker Saleem Rashid vor einigen Monaten gefunden und an die Entwickler von Hardware-Wallets weitergegeben hat. Der konkrete Angriff ist relativ schwer zu erklären:

Wenn ein Benutzer mit Trezor eine Gutschrift an eine Nicht-Segwit-Adresse sendet, prüft die Software, ob die UTXOs der vorherigen Transaktionen korrekt waren. Da nach SegWit die neue Transaktion selbst einen Verweis auf die UTXOs der vorherigen Transaktion enthält, konnte Trezor diesen Schritt speichern. Nun stellt sich jedoch heraus, dass ein Hacker diese Vereinfachung nutzen kann, indem er Malware auf das System des Benutzers schmuggelt. Dies stellt sicher, dass der Benutzer glaubt, einen bestimmten Betrag in Bitcoin zuzüglich einer bestimmten Gebühr auszugeben, während er die resultierende Änderung in Wahrheit als Gebühr ausgibt. Abhängig von den Münzen in der Brieftasche kann dies einen Benutzer ziemlich große Summen kosten.

Der Angriff ist natürlich sehr unwahrscheinlich. Zunächst muss ein Benutzer Malware abfangen. Dann profitiert nur der Bergmann, der die Transaktion in einen Block packt. Um wirklich davon zu profitieren, anstatt nur die Konkurrenz zu bereichern, müsste ein sehr großer Bergmann – mindestens einer der vier besten Bergleute – in das Malware-Vertriebsgeschäft einsteigen. Natürlich würde ihn das seine ganze Existenz kosten, wenn es herauskommen würde.

Dennoch ist es für den Hersteller einer Hardware-Brieftasche eine unangenehme Situation, einen solchen Fehler zu haben. Schließlich ist es ihre Aufgabe, den Benutzern maximale Sicherheit zu bieten, weshalb selbst ein winziges Restrisiko nicht toleriert werden kann. Also schloss Trezor den Bug. Die Lösung ist einfach: In Zukunft überprüft die Brieftasche auch die UTXOs früherer Transaktionen auf Transaktionen, die Gelder an SegWit-Adressen ausgeben.

„Einige Tools von Drittanbietern erlauben jedoch keine Hardware-Wallets, die vorherigen Transaktionen für SegWit-Eingaben, weshalb Trezor die Transaktionen über diese Tools nur signieren kann, wenn sie ihre Wallets aktualisiert haben. Dies gilt für das Wallet Electrum, das bereits einen Patch für die nächste Version angekündigt hat, wie dies auch für alle Instrumente gilt, die PSBT (Partial Signed Bitcoin Transactions) verwenden, z. B. in Bezug auf die Hardware-Wallet-Unterstützung von Bitcoin Core, aber auch für das Brieftasche Wasabi und der BTCPayServer.

Dies wird wahrscheinlich in absehbarer Zeit behoben. Bis dahin sollten Benutzer der betroffenen Brieftaschen darauf achten, das Trezor-Update nicht herunterzuladen – und natürlich darauf, keine Malware auf ihr System herunterzuladen.


Herrlich sowas dieser Inhalt kommt von
[ENGLISH]