Achterdeur in software zorgt voor verloren bitcoin bij Umbrel nodes

Umbrel-node eigenaren opgelet! Er lijkt een lek te zitten in de software waardoor gebruikers mogelijk hun bitcoin kunnen verliezen.

De developers achter het softwarepakket hebben bevestigd dat er mogelijk een lek is. Om hoeveel geld het gaat en hoeveel slachtoffers is niet bekend. Wel zijn er een aantal dingen die je kunt doen om dit te voorkomen als je zelf een node hebt.

Koop gemakkelijk en snel Bitcoin bij Bitvavo. Ga aan de slag en betaal geen handelskosten voor je eerste aankoop tot €1.000 !

Bitcoin node

Umbrel is software dat alle eindjes aan elkaar knoopt: je draait Bitcoin Core met daarop lnd (voor Lightning). Daar bovenop zitten dan weer allerlei apps: Thunderhub en RTL zijn twee voorbeelden. Vervolgens kun je via een VPN of via Tor overal met je eigen node bitcoin betalingen doen.

Doorgaans draai je zo'n node op een Raspberry Pi. Let daarbij sowieso op: een node is een hot wallet waarin de private key staat opgeslagen. Deze heb je immers nodig om Lightning transacties te ondertekenen (en routen).

Dat betekent dus ook dat áls iemand binnen in jouw node komt, hij of zij er zomaar met de sats vandoor kunt gaan.

Nu blijkt dat 'hackers' op de een of andere manier toegang kunnen krijgen tot de node. Het schijnt nu dat er een exploit is waardoor het bij minstens twee personen is gelukt om de node binnen te dringen.

Het gaat naar verluidt om een probleem door de combinatie van een TOR-verbinding (.onion-adressen), Thunderhub en een onaangepast standaardwachtwoord (moneyprintergobrrr).

Even voor de goede orde: Bitcoin is dus níet gehackt.

Oplossingen

In de Nederlandse communities (onder andere de LightningNL-chat en de groep van Satoshi Radio is al hevig gediscussieerd over dit probleem (en zijn er ook al oplossingen aangedragen). Ook bij Umbrel is het probleem bekend.

Het is niet zo zeer dat er een hack plaats vindt, maar eerder dat er achterdeurtjes openstaan in de Umbrel-software. Betaalkanalen kunnen potentieel een force-close krijgen. Vervolgens wordt de on-chain balans van de node afgehaald.

Voor zover bekend is dit bij twee personen het geval. Jij kunt enkele dingen doen om dit te voorkomen (als je zelf een Umbrel-node draait):

1. Pas je standaardwachtwoord aan.
2. Zet alle apps uit (van Lightning Terminal tot RTL tot Thunderhub).
3. Of: stel in ieder geval een 2FA-code in voor RTL. Je kunt hier lezen hoe je dit kunt doen. 
4. Neem een kijkje op GitHub waar de community een hotfix heeft aangedragen. Let op: deze oplossing komt niet bij Umbrel zelf vandaan.

Voor zover bekend is het probleem niet van toepassing op MyNode, een soortgelijke dienst. En verder: er is nog niet veel bevestigd vanuit het team van Umbrel zelf. Hou officiële kanalen in de gaten, evenals nieuwe releases van de software.

Onlangs haalde het bedrijf nog $3 miljoen aan investeringen op. Ook kwamen ze enkele maanden geleden met een plug-en-play oplossing: een hardware device in combinatie met de welbekende software.

Wil je op de hoogte blijven over alle ontwikkelingen? Kom dan eens langs in onze Telegram chat, en download ook vooral onze Android Nieuws app of iOS Nieuws app!