В новой прошивке Trezor обнаружен баг, который может привести к блокировке криптовалюты пользователей

В новой прошивке аппаратных кошельков Trezor, представленной разработчиком на этой неделе, был обнаружен баг, который может привести к блокировке криптовалюты пользователей.

Уязвимость становится актуальной в случае взаимодействия Trezor с кошельком Wasabi или процессинговым сервисом BTCPay, которые уже призвали клиентов воздержаться от очередного обновления ПО.

Баг предполагает атаку высокой сложности исполнения. Изначально жертва должна скачать зашифрованное вредоносное программное обеспечение, после этого при отправке биткоинов появляется ошибка и требование совершить операцию повторно. Ничего не подозревающий пользователь повторяет транзакцию, и в этот момент злоумышленник перенаправляет выходы, меняя суммы в транзакции и комиссии. Иными словами, допустим, при отправке 15 биткоинов и комиссии в 0,0001 BTC, значения меняются местами, и адресат получает 0,0001 BTC вместо 15 биткоинов, которые становятся комиссией сети.

Еще более усложняет этот и без того не самый простой метод атаки то, что злоумышленник должен быть еще и майнером и добыть тот самый нужный блок с повышенным сбором.

В Trezor пообещали исправить ошибку в самое ближайшее время.