‘Bitcoin Segwit bug leidt tot risico voor gebruikers hardware wallet Trezor’
Bitcoin (BTC) experts betitelen een recente softwarefout in het transactieprotocol SegWit als ‘onschuldig’. Niettemin kan juist de oplossing van hardware walletfabrikanten zoals Trezor gebruikers in problemen brengen.
Dat komt omdat deze wallets na de ‘fix’ compatibiliteitsproblemen hebben met software van derde partijen zoals Wasabi en BTCPay Server. Deze roepen hun gebruikers op om de firmware van hun Trezor voorlopig niet te updaten.
Het is een vrij complex verhaal, waar Decrypt over bericht, die ook een aantal direct betrokken bedrijven heeft gesproken.
Ook Trezor zelf heeft op haar blog als op Twitter een reactie gegeven op het onderzoek en het ontstane probleem. Ook Ledger heeft via deze update de bug van SegWit opgelost.
Trezor is vanwege haar open-source karakter populairder om te integreren met software van derde partijen. Vandaar dat dit issue zich vooral toespitst op Trezor en in mindere mate op Ledger.
In het ergste geval kan een gebruiker – ná de firmware-update – niet meer bij zijn Bitcoin komen via de Trezor in gebruik. Daarom dringen Wasabi en BTCPayServer erop aan om Trezor niet te updaten.
Bitcoin protocol SegWit
SegWit is een optionele update voor bitcoin adressen. Het is specifiek in het leven geroepen om de transactiesnelheid op het netwerk te vergroten. Van origine was de update vooral bedoeld om de zogenaamde kneedbaarheid van transacties te vergroten.
In de praktijk betekent het dat er met transacties vanaf een SegWit-adres meer transacties in een block passen. Miners kunnen dus meer transacties in blocks verwerken, waardoor er lagere wachttijden ontstaan.
De onafhankelijke onderzoeker Saleem Rashid ontdekte een bug in SegWit, een protocol om sneller en goedkoper Bitcoin transacties te versturen.
Rashid meldde de bug netjes aan Trezor en Ledger, fabrikanten die SegWit hebben geïntegreerd in hun hardware wallet.
Ontwikkelaars erkennen dat er sprake is van een bug in SegWit, maar de bug is niet volgens Luke Dash Jr, een invloedrijke bitcoin developer, niet cruciaal.
https://t.co/G8gDi1CO4S
Bug in #Segwit, which can be a security vulnerability for hardware wallets and similar.#Bitcoin isn't vulnerable itself, but users of Segwit wallets should ensure they upgrade if affected, before *sending* any new transactions.
Software bug
Hoe zit de softwarefout in elkaar? Een bitcoin gebruiker die gebruik maakt van SegWit downloadt de malware van de aanvaller. Een voorbeeld hoe deze theoretische ‘hack’ werkt:
ColdCard
Maar wat betekent deze bug voor de wereld van hardware walletfabrikanten? Voor hun transacties maken zij ook gebruik van SegWit.
Fabrikant NVK van de populair wordende ColdCard hardware wallet classificeert de bug als “niet ernstig”. Wel kan een firmware update van een hardware wallet tot issues leiden.
There is a possible Fee Attack on PSBT that was attempted by @saleemrash1d known by Trezor for the last 90 days.
It appears that affects all hardware wallets and HWI. It wan’t brought up to @achow101 HWI maintainers either.
We have all found out today, and are investigating.
— NVK┗(°0◜)┛..○₿ (@nvk) June 3, 2020
Trezor CEO Pavol Rusnak verklaart tegenover Decrypt dat een ‘fix ‘ van de ‘bug’ vrij simpel in zijn werk ging. Hij licht toe:
[penci_blockquote style=”style-2″ align=”none” author=””]’We moeten Segwit transacties verwerken zoals elke andere transactie. Dat betekent dat de wallet alle eerdere transacties controleert en her-valideert voordat er een nieuwe wordt verzonden’.[/penci_blockquote]
Software
Dat gaat goed zolang je je Trezor stand alone gebruikt, zonder integratie met andere software om bitcoin transacties te versturen. Trezor erkent zelf ook dat er problemen kunnen ontstaan met ’tools van derde partijen’.
Zij wijzen op hun interne geheimhoudingsplicht bij firmware updates. ‘We kunnen we de beheerders van die software niet tijdig waarschuwen’.
Een van de betrokken partijen is Wasabi, die een privacywallet op de markt brengt. Het gebruik van Wasabi neemt met rasse schreden toe, ook vanwege de strengere wet – en regelgeving.
Onlangs is bekend geworden dat ook Europol het gebruik van coinjoins, het mixen van bitcoin transacties, onderzoekt. De meest gebruikte wallet daarvoor is de Wasabi wallet.
Volgens oprichter Adam Fiscor moet gebruikers hun hardware niet updaten vanwege de ‘fix’ van Trezor. Met andere woorden: de oplossing van Trezor leidt tot een groter probleem dan de ‘bug’ zelf.
Hij waarschuwt dat je ‘Bitcoin niet te benaderen zijn’ na de firmware update in combinatie met Wasabi.
If you are using Trezor with Wasabi please don’t upgrade your firmware until compatibility issues are resolved, otherwise your funds will get stuck until support of new firmware comes out. https://t.co/zrA5ml2kBL
— nopara73 (@nopara73) June 5, 2020
Volgens Nicolas Dorier, oprichter en CEO bij BTCPay Server, was het beter geweest als Trezor hiervoor een overgangsperiode van één tot twee maanden had ingelast.
BTCPay Server biedt namelijk een integratie met Trezor aan. Het betekent feitelijk dat deze support tijdelijk niet meer te gebruiken is. Gebruikers van deze dienst slaan namelijk niet de complete bitcoin blockchain op, maar maken gebruik van zogenaamde ‘pruned’ nodes.
Ze slaan genoeg data op om gebruik te kunnen make van deze BTCPay dienst. Dat maakt het gemakkelijker om die dienst te draaien.
1/ If you use Trezor and updated the firmware, you won’t be able to get the money out of your Trezor via BTCPay Server anymore. We can’t fix the issue as we don’t have the data Trezor will request. (no transaction index)https://t.co/FIJOTiIHuD
— BTCPay Server (@BtcpayServer) June 4, 2020
Ook BTCPay drukt gebruikers op het hart voorlopig niet te updaten, omdat ze dan niet meer bij hun Bitcoin kunnen komen. Het advies is dus om de updates van respectievelijk Wasabi en BTCPay af te wachten.
‘Kwijtraken’ is in dit geval relatief, want de Bitcoin op deze wallets zou via de seeds (privésleutels) weer bereikbaar zijn, maar dan met een ander Trezor exemplaar.
