Trezor lanzó un nuevo firmware para su billetera de hardware para abordar una falla de seguridad encontrada recientemente. El nuevo firmware para Trezor One (versión 1.9.1) y Trezor Model T (versión 2.3.1) ya está disponible para instalar.
Reparando la vulnerabilidad en las transacciones de Segwit
Saleem Rashid encontró la nueva vulnerabilidad en el firmware de las billeteras de hardware Trezor y lo informó a través de un programa de divulgación responsable. La compañía actualizó el firmware para abordarlo y también debido a algunas tareas de refactorización interna.
Trezor siempre requiere las transacciones anteriores para verificar el saldo real de UTXO. Esta función ocurre en transacciones que no son de Segwit para garantizar que los usuarios no paguen una gran cantidad de tarifa de transacción sin saberlo. Pero después de la introducción de Segwit, los directores cambiaron un poco:
“Con la introducción de Segwit, los desarrolladores de Bitcoin intentaron simplificar esto. Al firmar una transacción de Segwit, se firma una pieza de datos ligeramente diferente. Esto se define en BIP-143, y uno de los cambios fue que la cantidad de UTXO está presente en los datos firmados. Esto ayuda significativamente; si el atacante miente sobre la cantidad de UTXO, la firma simplemente no es válida en la red de Bitcoin», dice Trezor.
Trezor explica la vulnerabilidad reciente en las transacciones Segwir de billeteras de hardware en una publicación de blog. En resumen, los atacantes podrían usar la vulnerabilidad con malware para pedirle a la víctima que confirme otra transacción junto a su transacción original y pague más criptomonedas. Trezor explicó la solución para la vulnerabilidad:
“La solución es sencilla: tenemos que lidiar con las transacciones de Segwit de la misma manera que lo hacemos con las transacciones que no son de Segwit. Eso significa que debemos exigir y validar los importes UTXO de las transacciones anteriores. Eso es exactamente lo que estamos introduciendo en las versiones de firmware 2.3.1 y 1.9.1″.
Algunas herramientas de terceros no pueden funcionar con Trezor después de la nueva actualización. Tienen que actualizar sus plataformas para continuar trabajando con las billeteras de hardware. Las aplicaciones basadas en la web que usan Trezor Connect versión 8 no experimentan ningún cambio y continúan funcionando como antes. El parche para Electrum se proporcionará pronto como una solicitud de extracción. Será imposible usar Electrum con Trezor 1.9.1 y 2.3.1 hasta que se lance este parche.
