Nieuwe update voor hardware wallets!

Jun 9, 2020

Er is een nieuwe firmware-update voor de Trezor en Ledger hardware wallets beschikbaar. Het is een veiligheidsupdate die een kwetsbaarheid in het segwit-protocol verhelpt, maar nog vervelende gevolgen kan hebben wanneer je deze hardware wallets in combinatie met andere diensten gebruikt. Vandaar even opgelet.

private key vs recovery seed

Het gaat om de firmware updates voor Trezor One (versie 1.9.1) and Trezor Model T (versie 2.3.1) met een aanpassing over hoe Segwit transacties worden beheerd waardoor de kwetsbaarheid wordt gecorrigeerd en niet meer kan worden misbruikt. Bij Ledger gaat het om het bijwerken van de firmware tot versie 1.2.4-1 voor de Nano X en versie 1.6 voor de Ledger Nano S. Deze updates worden automatisch aangekondigd in de wallets.

Even opgelet!

wasabi bitcoin wallet

Wanneer je deze hardware wallet gebruikt met de BTCPay Server en de Wasabi diensten, kun je het beste even wachten met het uitvoeren van deze firmware-update. De update is op dit moment nog niet compatibel met deze diensten.

Het meest veiligste wat je dan kunt doen, is om dan de hardware wallets even niet te gebruiken en te wachten dat er een nieuwe software update beschikbaar is zodat alle Bitcoin wallets weer effectief met elkaar kunnen communiceren.

Ik heb de firmware update al uitgevoerd!

Mocht je al de firmware hebben bijgewerkt, dan zul je merken dat je niet meer de bitcoins kunt uitgeven op Wasabi en BTCPay Server. In dat geval, zul je geduld moeten hebben en moeten wachten dat alle software tot de nieuwste versie kan worden bijgewerkt. Als alternatief kun je altijd een Trezor of Ledger gebruiken met een oudere software versie om zodoende een transactie te tekenen. Vandaar dat het geen slecht idee is om altijd een extra backup-hardware wallet te hebben of te maken met behulp van je wallet seed.

Kan ik de wallets zonder laatste update toch gebruiken?

Wanneer je de Trezor of Ledger wilt gebruiken zonder dat de firmware is bijgewerkt, moet je wel weten welk risico dit inhoudt. Het risico is zeer laag. Het is onwaarschijnlijk dat deze kwetsbaarheid kan worden misbruikt. Als je van plan bent om een transactie tekenen zonder update, waarschuwen we je alvast om nooit dezelfde transactie na een foutmelding nogmaals te tekenen. Krijg je een foutmelding bij het tekenen van de transactie en wordt je verzocht om nogmaals te tekenen, doe dit dan niet. Breek de transactie af en onderteken niet tweemaal dezelfde transactie.

Veiligheidsrisico van de kwetsbaarheid.

Saleem Rashid is een 17-jarige jonge slimme hacker die het leuk vindt om kwetsbaarheden te vinden in de Bitcoin software en gerelateerde diensten zoals hardware wallets. Gelukkig is hij een fervente bitcoiner die alles netjes vertelt aan de betrokken ontwikkelaars. Als een vijftienjarige jongen werd Saleem al bekend voor het vinden van een kwetsbaarheid in de Trezor en Ledger hardware wallets. Nu heeft hij een nieuwe kwetsbaarheid gevonden die onder bepaalde voorwaarden kan worden misbruikt.

De kwetsbaarheid kan worden misbruikt wanneer een hacker samenwerkt met een Bitcoin miner. De hacker installeert specifieke malware op computers. De hacker kan dan van de kwetsbaarheid gebruik maken tijdens een transactiebevestiging. Hier kan de hacker de inputs (UTXO’s) manipuleren waardoor de transactiekosten voor de miner zo groot mogelijk worden.

Dit is natuurlijk zeer mooi voor de Bicoin miner en veronderstelt dan wel weer dat de corrupte Bitcoin miner de transactieblok, waar deze transactiekosten in zitten, kan delven. Dit is natuurlijk uiterst moeilijk om uit te voeren; het is echter mogelijk. Bovendien de malware zelf zou ook kunnen worden ingezet voor sabotage doeleinden.

Waar moet je op letten?

Wanneer je een transactie ondertekent zal je op de hardware wallet een foutmelding krijgen en worden gevraagd om de transactie opnieuw te ondertekenen. Doe dit niet! De malware heeft de transactie inputs gemanipuleerd en je bitcoins kwijtraakt via de transactiekosten die naar de miner worden gestuurd.

Conclusie

Dus, deze segwit-kwetsbaarheid kan alleen worden benut wanneer de gebruiker de dezelfde transactie nog een keer voor de tweede maal ondertekent na de foutmelding. Verder veronderstelt dit dat de gebruiker specifieke malware heeft geïnstalleerd op de computer die deze transactie inputs kan manipuleren. Verder veronderstelt dit dat een miner met de hacker samenwerkt en dat de miner de betreffende transactie kan delven om daadwerkelijk geld te kunnen verdienen aan de hack. Het veiligheidsrisico is klein en wordt overdreven, maar bestaat wel degelijk!

Vandaar, iedereen die gebruikt maakt van de Ledger en Trezor hardware wallets moet de laatste firmware-update uitvoeren. Alleen die gebruikers die deze hardware wallets gebruiken in combinatie met een andere dienst zoals de BTCPay Server en de Wasabi wallet, moeten even goed opletten. Deze gebruikers kunnen het beste wachten tot de betreffende diensten met een software update uitkomen. Wanneer alle software is bijgewerkt tot de laatste versie is alles weer in orde.

Verder is het natuurlijk verstandig om je Bitcoin veiligheidsmaatregelen te toetsen. Bijvoorbeeld, versleutel al je internetverkeer met behulp van VPN-software zoals NordVPN deze aanbiedt. Voor meer informatie: Bitcoin beveiliging!

Voor meer informatie en bronnen:

Lees verder

Bitcoin is nu “Made in USA”

China exit. De Verenigde Staten zijn nu de Bitcoin mining hotspot. Het is bijna niet te geloven wat China beweegt om zijn complete Bitcoin industrie om zeep te helpen. Het is grappig om te lezen dat MacDonalds in China iets met NFT’s gaat doen in China, maar bijna op een Soviet achtige manier spant China […]

Oct 14, 2021
2 min

Nieuwe brug tussen klassieke aandelenhandel en Bitcoin met Liquid Network

In een wereld met teruglopende omzetten op de aandelenbeurzen springt een vrij nieuwe aandelenbeurs eruit en dat is de Sychellen Stock Exchange (MERJ). In 2020 was het met 325% groei de snelst groeiende aandelenbeurs ter wereld en in 2021 was er nog eens 16% groei. Nu kondigt Blockstream aan dat deze beurs met zijn handelstechnologieprovider […]

Oct 13, 2021
2,5 min

El Salvador meteen ook proeftuin DeFi

Dit is altijd al wat werd gezegd door Bitcoiners als antwoord op de vraag of Bitcoin niet kapot gereguleerd kan worden: ja dat kan als een land of een groep landen dat wil, maar dan creëer je meteen ook de perfecte springplank voor een ander land of groep landen om de hele innovatie rond bitcoin […]

Oct 9, 2021
5,5 min