Nieuwe update voor hardware wallets!

Jun 9, 2020

Er is een nieuwe firmware-update voor de Trezor en Ledger hardware wallets beschikbaar. Het is een veiligheidsupdate die een kwetsbaarheid in het segwit-protocol verhelpt, maar nog vervelende gevolgen kan hebben wanneer je deze hardware wallets in combinatie met andere diensten gebruikt. Vandaar even opgelet.

private key vs recovery seed

Het gaat om de firmware updates voor Trezor One (versie 1.9.1) and Trezor Model T (versie 2.3.1) met een aanpassing over hoe Segwit transacties worden beheerd waardoor de kwetsbaarheid wordt gecorrigeerd en niet meer kan worden misbruikt. Bij Ledger gaat het om het bijwerken van de firmware tot versie 1.2.4-1 voor de Nano X en versie 1.6 voor de Ledger Nano S. Deze updates worden automatisch aangekondigd in de wallets.

Even opgelet!

wasabi bitcoin wallet

Wanneer je deze hardware wallet gebruikt met de BTCPay Server en de Wasabi diensten, kun je het beste even wachten met het uitvoeren van deze firmware-update. De update is op dit moment nog niet compatibel met deze diensten.

Het meest veiligste wat je dan kunt doen, is om dan de hardware wallets even niet te gebruiken en te wachten dat er een nieuwe software update beschikbaar is zodat alle Bitcoin wallets weer effectief met elkaar kunnen communiceren.

Ik heb de firmware update al uitgevoerd!

Mocht je al de firmware hebben bijgewerkt, dan zul je merken dat je niet meer de bitcoins kunt uitgeven op Wasabi en BTCPay Server. In dat geval, zul je geduld moeten hebben en moeten wachten dat alle software tot de nieuwste versie kan worden bijgewerkt. Als alternatief kun je altijd een Trezor of Ledger gebruiken met een oudere software versie om zodoende een transactie te tekenen. Vandaar dat het geen slecht idee is om altijd een extra backup-hardware wallet te hebben of te maken met behulp van je wallet seed.

Kan ik de wallets zonder laatste update toch gebruiken?

Wanneer je de Trezor of Ledger wilt gebruiken zonder dat de firmware is bijgewerkt, moet je wel weten welk risico dit inhoudt. Het risico is zeer laag. Het is onwaarschijnlijk dat deze kwetsbaarheid kan worden misbruikt. Als je van plan bent om een transactie tekenen zonder update, waarschuwen we je alvast om nooit dezelfde transactie na een foutmelding nogmaals te tekenen. Krijg je een foutmelding bij het tekenen van de transactie en wordt je verzocht om nogmaals te tekenen, doe dit dan niet. Breek de transactie af en onderteken niet tweemaal dezelfde transactie.

Veiligheidsrisico van de kwetsbaarheid.

Saleem Rashid is een 17-jarige jonge slimme hacker die het leuk vindt om kwetsbaarheden te vinden in de Bitcoin software en gerelateerde diensten zoals hardware wallets. Gelukkig is hij een fervente bitcoiner die alles netjes vertelt aan de betrokken ontwikkelaars. Als een vijftienjarige jongen werd Saleem al bekend voor het vinden van een kwetsbaarheid in de Trezor en Ledger hardware wallets. Nu heeft hij een nieuwe kwetsbaarheid gevonden die onder bepaalde voorwaarden kan worden misbruikt.

De kwetsbaarheid kan worden misbruikt wanneer een hacker samenwerkt met een Bitcoin miner. De hacker installeert specifieke malware op computers. De hacker kan dan van de kwetsbaarheid gebruik maken tijdens een transactiebevestiging. Hier kan de hacker de inputs (UTXO’s) manipuleren waardoor de transactiekosten voor de miner zo groot mogelijk worden.

Dit is natuurlijk zeer mooi voor de Bicoin miner en veronderstelt dan wel weer dat de corrupte Bitcoin miner de transactieblok, waar deze transactiekosten in zitten, kan delven. Dit is natuurlijk uiterst moeilijk om uit te voeren; het is echter mogelijk. Bovendien de malware zelf zou ook kunnen worden ingezet voor sabotage doeleinden.

Waar moet je op letten?

Wanneer je een transactie ondertekent zal je op de hardware wallet een foutmelding krijgen en worden gevraagd om de transactie opnieuw te ondertekenen. Doe dit niet! De malware heeft de transactie inputs gemanipuleerd en je bitcoins kwijtraakt via de transactiekosten die naar de miner worden gestuurd.

Conclusie

Dus, deze segwit-kwetsbaarheid kan alleen worden benut wanneer de gebruiker de dezelfde transactie nog een keer voor de tweede maal ondertekent na de foutmelding. Verder veronderstelt dit dat de gebruiker specifieke malware heeft geïnstalleerd op de computer die deze transactie inputs kan manipuleren. Verder veronderstelt dit dat een miner met de hacker samenwerkt en dat de miner de betreffende transactie kan delven om daadwerkelijk geld te kunnen verdienen aan de hack. Het veiligheidsrisico is klein en wordt overdreven, maar bestaat wel degelijk!

Vandaar, iedereen die gebruikt maakt van de Ledger en Trezor hardware wallets moet de laatste firmware-update uitvoeren. Alleen die gebruikers die deze hardware wallets gebruiken in combinatie met een andere dienst zoals de BTCPay Server en de Wasabi wallet, moeten even goed opletten. Deze gebruikers kunnen het beste wachten tot de betreffende diensten met een software update uitkomen. Wanneer alle software is bijgewerkt tot de laatste versie is alles weer in orde.

Verder is het natuurlijk verstandig om je Bitcoin veiligheidsmaatregelen te toetsen. Bijvoorbeeld, versleutel al je internetverkeer met behulp van VPN-software zoals NordVPN deze aanbiedt. Voor meer informatie: Bitcoin beveiliging!

Voor meer informatie en bronnen:

Lees verder

De meesters en slaven van geld

Zoals we allemaal weten, heeft een munt twee zijden. Datzelfde principe geldt ook voor geld. Geld wordt vaak gezien als de bron van al het kwaad, en als geld op de verkeerde wijze beheerd en gebruikt wordt, is dat ook correct. Maar gezond geld is ook de perfecte manier om de tijd en energie te […]

Aug 4, 2020
6 min

Brzeziński’s Strategic Vision en de huidige politiek van de angst!

We kunnen onze lezers aanbevelen om het onderstaande gesprek te bekijken tussen Kees van der Pijl en Ramon Brill. Het gesprek gaat over de huidige staatsterreur en de gevoerde politiek van de angst om de bevolking in het gareel te houden. De inhoud van het gesprek is onder meer gebaseerd op het werk van Zbigniew […]

Aug 4, 2020
3 min

De globale Gold Rush van 2020 en de ineenstorting van de papieren goudmarkt!

We kunnen spreken van een nieuwe globale Gold Rush in 2020. De vraag naar fysiek goud is wereldwijd de afgelopen maanden significant toegenomen. Belangrijk hierbij is dat er normaliter in de derivatenhandel er bijna nooit gevraagd wordt naar de daadwerkelijke levering van het onderpand: de fysieke goudbaren. Dit is nu niet meer het geval zoals […]

Jul 31, 2020
3,5 min