Nieuwe update voor hardware wallets!

Jun 9, 2020

Er is een nieuwe firmware-update voor de Trezor en Ledger hardware wallets beschikbaar. Het is een veiligheidsupdate die een kwetsbaarheid in het segwit-protocol verhelpt, maar nog vervelende gevolgen kan hebben wanneer je deze hardware wallets in combinatie met andere diensten gebruikt. Vandaar even opgelet.

private key vs recovery seed

Het gaat om de firmware updates voor Trezor One (versie 1.9.1) and Trezor Model T (versie 2.3.1) met een aanpassing over hoe Segwit transacties worden beheerd waardoor de kwetsbaarheid wordt gecorrigeerd en niet meer kan worden misbruikt. Bij Ledger gaat het om het bijwerken van de firmware tot versie 1.2.4-1 voor de Nano X en versie 1.6 voor de Ledger Nano S. Deze updates worden automatisch aangekondigd in de wallets.

Even opgelet!

wasabi bitcoin wallet

Wanneer je deze hardware wallet gebruikt met de BTCPay Server en de Wasabi diensten, kun je het beste even wachten met het uitvoeren van deze firmware-update. De update is op dit moment nog niet compatibel met deze diensten.

Het meest veiligste wat je dan kunt doen, is om dan de hardware wallets even niet te gebruiken en te wachten dat er een nieuwe software update beschikbaar is zodat alle Bitcoin wallets weer effectief met elkaar kunnen communiceren.

Ik heb de firmware update al uitgevoerd!

Mocht je al de firmware hebben bijgewerkt, dan zul je merken dat je niet meer de bitcoins kunt uitgeven op Wasabi en BTCPay Server. In dat geval, zul je geduld moeten hebben en moeten wachten dat alle software tot de nieuwste versie kan worden bijgewerkt. Als alternatief kun je altijd een Trezor of Ledger gebruiken met een oudere software versie om zodoende een transactie te tekenen. Vandaar dat het geen slecht idee is om altijd een extra backup-hardware wallet te hebben of te maken met behulp van je wallet seed.

Kan ik de wallets zonder laatste update toch gebruiken?

Wanneer je de Trezor of Ledger wilt gebruiken zonder dat de firmware is bijgewerkt, moet je wel weten welk risico dit inhoudt. Het risico is zeer laag. Het is onwaarschijnlijk dat deze kwetsbaarheid kan worden misbruikt. Als je van plan bent om een transactie tekenen zonder update, waarschuwen we je alvast om nooit dezelfde transactie na een foutmelding nogmaals te tekenen. Krijg je een foutmelding bij het tekenen van de transactie en wordt je verzocht om nogmaals te tekenen, doe dit dan niet. Breek de transactie af en onderteken niet tweemaal dezelfde transactie.

Veiligheidsrisico van de kwetsbaarheid.

Saleem Rashid is een 17-jarige jonge slimme hacker die het leuk vindt om kwetsbaarheden te vinden in de Bitcoin software en gerelateerde diensten zoals hardware wallets. Gelukkig is hij een fervente bitcoiner die alles netjes vertelt aan de betrokken ontwikkelaars. Als een vijftienjarige jongen werd Saleem al bekend voor het vinden van een kwetsbaarheid in de Trezor en Ledger hardware wallets. Nu heeft hij een nieuwe kwetsbaarheid gevonden die onder bepaalde voorwaarden kan worden misbruikt.

De kwetsbaarheid kan worden misbruikt wanneer een hacker samenwerkt met een Bitcoin miner. De hacker installeert specifieke malware op computers. De hacker kan dan van de kwetsbaarheid gebruik maken tijdens een transactiebevestiging. Hier kan de hacker de inputs (UTXO’s) manipuleren waardoor de transactiekosten voor de miner zo groot mogelijk worden.

Dit is natuurlijk zeer mooi voor de Bicoin miner en veronderstelt dan wel weer dat de corrupte Bitcoin miner de transactieblok, waar deze transactiekosten in zitten, kan delven. Dit is natuurlijk uiterst moeilijk om uit te voeren; het is echter mogelijk. Bovendien de malware zelf zou ook kunnen worden ingezet voor sabotage doeleinden.

Waar moet je op letten?

Wanneer je een transactie ondertekent zal je op de hardware wallet een foutmelding krijgen en worden gevraagd om de transactie opnieuw te ondertekenen. Doe dit niet! De malware heeft de transactie inputs gemanipuleerd en je bitcoins kwijtraakt via de transactiekosten die naar de miner worden gestuurd.

Conclusie

Dus, deze segwit-kwetsbaarheid kan alleen worden benut wanneer de gebruiker de dezelfde transactie nog een keer voor de tweede maal ondertekent na de foutmelding. Verder veronderstelt dit dat de gebruiker specifieke malware heeft geïnstalleerd op de computer die deze transactie inputs kan manipuleren. Verder veronderstelt dit dat een miner met de hacker samenwerkt en dat de miner de betreffende transactie kan delven om daadwerkelijk geld te kunnen verdienen aan de hack. Het veiligheidsrisico is klein en wordt overdreven, maar bestaat wel degelijk!

Vandaar, iedereen die gebruikt maakt van de Ledger en Trezor hardware wallets moet de laatste firmware-update uitvoeren. Alleen die gebruikers die deze hardware wallets gebruiken in combinatie met een andere dienst zoals de BTCPay Server en de Wasabi wallet, moeten even goed opletten. Deze gebruikers kunnen het beste wachten tot de betreffende diensten met een software update uitkomen. Wanneer alle software is bijgewerkt tot de laatste versie is alles weer in orde.

Verder is het natuurlijk verstandig om je Bitcoin veiligheidsmaatregelen te toetsen. Bijvoorbeeld, versleutel al je internetverkeer met behulp van VPN-software zoals NordVPN deze aanbiedt. Voor meer informatie: Bitcoin beveiliging!

Voor meer informatie en bronnen:

Lees verder

Lords of Finance

We kunnen onze lezers het volgende boek aanbevelen: Lords of Finance: The Bankers Who Broke the World. Het boek is uitgegeven door Penguin Press in 2009 tijdens de vorige financiële crisis. Het is geschreven door Liaquat Ahamed die voor zijn werk in 2010 de Pulitzer Prize for History ontving. Het boek beschrijft de financiële ontwikkelingen voorafgaand […]

Jul 2, 2020
4 min

Waarom is Bitcoin antifragiel?

Dat velen nog altijd sceptisch zijn over Bitcoin is geen geheim. Ze beweren dat het een kwetsbare ponzi-scheme is, die ieder moment kan knappen. Bitcoin bezit echter een aantal kwaliteiten die ervoor zorgen dat het juist antifragiel is, en dat het toestanden kan doorstaan die ons huidig monetair systeem ernstig in de problemen zouden brengen. […]

Jun 22, 2020
3,5 min

Waarom kan Bitcoin niet verboden worden?

Het is de grootste nachtmerrie van velen: dat overheden besluiten Bitcoin te verbieden. Kunnen overheden Bitcoin verbieden? Als overheden over zouden gaan op dit besluit, zouden ze daarmee toegeven dat Bitcoin inzetbaar is als een alternatieve monetaire eenheid. Bovendien is de architectuur van Bitcoin zo opgezet dat het vrijwel ontastbaar is voor pogingen door overheden […]

Jun 11, 2020
3,5 min