تهدید سرمایه موجود در کیف پول کاربران توسط یک باگ 

یک باگ در معاملات پروتکل سگویت بیت کوین شناسایی شد که با انتقال سرمایه بیت کوین کاربران به کیف پول اشتباه سرمایه آنها را از دسترسشان خارج می کند.

خلاصه خبر 

یک هکر موفق شد باگی را کشف کند که بر کیف پول های رمزنگاری شده اثر کرده و دسترسی کاربران را به کیف پولشان غیرممکن می سازد. این مشکل برای کاربرانی ایجاد می شود که از پروتکل سگویت بیت کوین استفاده می کنند. توسعه دهندگان Wasabi و BTCPay از کاربران تقاضا کرده اند تا سرمایه هایشان را پیش از آپدیت کردن دستگاه جابه جا نمایند. 

کیف پول بیت کوین ترزور (TREZOR) دو روز قبل فریمور خود را به روز رسانی کرد. این عملکرد برای نجات کیف پول هایی است که از پروتکل سگویت بیت کوین استفاده می کنند که منجر به انجام معاملاتی با قیمت ارزان تر و حجم کمتر می شود. 

با وجود اینکه ترزور کیف پول خود را به روزرسانی کرده است، اما هنوز برای کاربرانی که معاملاتی را با دیگر نرم افزارهای مرتبط با بیت کوین نظیر Wasabi و BTCPayانجام می دهند مشکلاتی پدید خواهد آمد. کاربرانی که از کیف پول Wasabi و BTCPay استفاده می کنند با به روزرسانی دسترسی به سرمایه هایشان را از دست می دهند بنابراین از آنها خواسته شده تا اطلاع ثانوی از انجام به روزرسانی خودداری کنند. 

بررسی آسیب پذیری 

سلیم رشید هکر مستقل و زبده سه ماه پیش موفق شد وجود این باگ را تشخیص داده و بلافاصله مراتب را به سازندگان کیف پول های مرتبط منتقل کرد. اخیرا ترزور موفق شد به کمک یک به روزرسانی فریمور، به این آسیب پذیری ها پایان بخشد. اما این آسیب پذیری که توسعه دهندگان معتقدند برطرف کردن آن بسیار مشکل است، در مورد ترزور که محبوبیت فراوانی دارد حل گردید. 

این باگ که کم و بیش از موارد قبلی جدی تر می باشد به روش های زیر مسیر های حمله را فراهم می کند: 

زمانی که یک کاربر بیت کوین تصمیم می گیرد سگویت را دانلود کند بدافزاری از این مسیر به او حمله می کند. در این حالت قربانی بی خبر معامله خود را از طریق دو درگاه انجام می دهد، یکی با 10 بیت کوین و دیگری برای 5.0001 بیت کوین. پس از تایید معامله، کاربر با پیام خطایی روبه رو می شود که از او می خواهد دوباره ثبت نام کند. در همین اثنا حمله کننده ورودی های معامله را تغییر میدهد یکی برای 15 بیت کوین و دیگری برای 0.0001 بیت کوین. هم اکنون 0.0001 خود تراکنش و 15 بیت کوین کارمزد آن است. حال قربانی باید تراکنشی با بیش از یک ورودی انجام دهد که ضمن آن بدافزار را نیز دانلود کرده است. 

NVK سازنده کیف پول سخت افزاری Cold Card که از این آسیب پذیری مطلع نشده بود اظهار کرد:«شدت حمله بسیار کم است و به روزرسانی کیف پول سخت افزاری می تواند تعامل کیف پول را با دیگر کیف ها مسدود کند. 

آسیب های دیگر 

اگرچه ترزور راه حل ساده ای برای این مشکل یافته است، اما کاربران دیگرانی نیز هستند که با کیف پول های دیگری کار کرده و دچار مشکل می شوند. از طرفی ترزور نیز نمی تواند ثبت نامی انجام داده یا معامله کند مگر زمانی که این ابزارها به روز رسانی شوند. 

“آدام فیسکور” موسس کیف پول واسابی در توییتر خود نوشت: کاربران واسابی نباید فریمور خود را به روز رسانی کنند تا زمانی که مشکل برطرف شود. او معتقد است نتایج به روزرسانی فریمور که سبب می شود کاربران ترزور از واسابی بیرون کشیده شوند بسیار مشکل سازتر از خود حملات است. او در توافق با NVK ابراز می دارد که ترزور حق دارد تا این اندازه محتاط رفتار کند. 

نیکولاس دوریر موسس BTCPay اظهار داشت او امیدوار است که ترزوریک فرصت یک تا دو ماهه به کاربران خود بدهد تا آنها بتوانند سرمایه های خود را برگردانند. او ادامه داد احتمالا شرکت او حمایت از تریزور و کیف پول های سخت افزاری را ترک نماید زیرا کاربران او تمامی اطلاعات بلاک چین را ذخیره نمی کنند بلکه تنها بخشی را نگهداری می کنند که مرتبط با اطلاعات موردنیاز شرکت خودشان در شبکه بیت کوین باشد. 

بهرحال تا زمانی که کاربران نسخه قدیمی تر را اجرا کنند موردی پیش نمی آید. آنها باید سرمایه هایشان را قبل از بروزرسانی منتقل کنند. 

منبع: decrypt