Trezor-Update bricht Kompatibilität mit anderen Wallets

Ein neues Update der Hardware-Wallet Trezor friert Guthaben auf Wallets wie Electrum oder Wasabi ein. Der Grund liegt darin, dass Trezor einen möglichen, aber unwahrscheinlichen Angriff auf Transaktionen mit SegWit-Inputs schließt.

Manchmal ist die Medizin schlimmer als die Krankheit, die sie heilen soll. Beim jüngsten Update der Firmware der Hardware-Wallet Trezor war dies offenbar der Fall.

User, die die Trezor-Hardware im Hintergrund von Wallets wie Electrum oder Wassabi sowie des BTCPayServers benutzen, mussten vor kurzem mit Erschrecken feststellen, dass ihre Bitcoins eingefroren sind. „Ich benutze Electrum und kann keine Transaktion mehr signieren,“ beklagt sich beispielsweise ein User in Trezors Redditforum. „Der Bildschirm friert ein, wenn ich eine Transaktion mit Trezor signiere, und ich bekomme eine seltsame kryptische Bytecode Error-Nachricht.“

Das Problem liegt am neuen Update der Firmware von Trezor. Diese solltet ihr auf keinen Fall einspielen, wenn ihr Trezor in Verbindung mit einer anderen Wallet benutzt. Die neue Firmware schließt eine Schwachstelle, die der Hacker Saleem Rashid vor einigen Monaten gefunden und an die Entwickler von Hardware-Wallets weitergegeben hat. Der konkrete Angriff ist relativ schwierig zu erklären:

Wenn ein User ein Guthaben auf einer Nicht-Segwit-Adresse mit Trezor versendet, prüft die Software, ob die UTXOs der vorhergangenen Transaktionen korrekt war. Da nach SegWit die neue Transaktion selbst einen Hinweis auf die UTXOs der vergangenen Transkation enthält, konnte sich Trezor diesen Schritt ersparen. Nun zeigt sich aber, dass ein Hacker diese Vereinfachung ausnutzen kann, indem er eine Malware auf das System des Users schmuggelt. Diese sorgt dafür, dass der User denkt, er würde einen bestimmten Betrag in Bitcoin plus eine bestimmte Gebühr ausgeben, während er in Wahrheit das dabei entstehende Wechselgeld als Gebühr ausgibt. Je nach Münzen, die in der Wallet sind, kann dies einen User ziemlich große Summen kosten.

Der Angriff ist natürlich sehr unwahrscheinlich. Zunächst einmal muss sich ein User eine Malware einfangen. Dann ist der einzige, der davon profitiert, der Miner, der die Transaktion in einen Block packt. Um wirklich davon zu profitieren, anstatt lediglich die Konkurrenz zu bereichern, müsste also ein sehr großer Miner – mindestens einer der Top4-Miner – in das Geschäft der Verbreitung von Malware einsteigen. Das würde ihn freilich die gesamte Existenz kosten, wenn es herauskäme.

Dennoch ist es für den Hersteller einer Hardware-Wallet eine unangenehme Situation, einen solchen Bug zu haben. Es ist schließlich ihr Job, den Usern die maximale Sicherheit zu gewähren, weshalb auch ein winziges Restrisiko nicht tolerierbar ist. Also hat Trezor den Bug geschlossen. Die Lösung ist einfach: Künftig prüft die Wallet auch bei Transaktionen, die Guthaben auf SegWit-Adressen ausgeben, die UTXOs der vorhergegangenen Transaktionen.

Allerdings „erlauben einige Werkzeuge von dritten Parteien Hardware-Wallets nicht, die vorhergegangenen Transaktionen bei SegWit-Inputs zu empfangen, weshalb Trezor nicht in der Lage sein wird, die Transaktionen durch diese Werkzeuge zu signieren, solange diese ihre Wallets nicht aktulisiert haben.“ Dies gilt für die Wallet Electrum, die allerdings schon für die nächste Version einen Patch angekündigt hat, wie es auch für alle Instrumente gilt, die PSBT (Partially Signed Bitcoin Transactions) benutzen, was etwa den Hardware-Wallet-Support von Bitcoin Core betrifft, aber auch die Wallet Wasabi sowie den BTCPayServer.

Dies wird in absehbarer Zukunft vermutlich gefixt werden. Bis dahin sollten sich User der betroffenen Wallets davor hüten, das Trezor-Update herunterzuladen – und natürlich aufpassen, dass sie keine Malware auf ihr System laden.

Über Christoph Bergmann (1845 Beiträge)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin, Bitcoin Cash oder Bitcoin SV an die folgende Adresse: 1BergmanNpFqZwALMRe8GHJqGhtEFD3xMw. Wer will, kann uns auch Hier mit Lightning spenden. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

Schreiben Sie einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Wechseln )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Wechseln )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Wechseln )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Wechseln )

Verbinde mit %s