Il portafoglio hardware unicamente per bitcoin Coldcard ha rilasciato una patch firmware beta per una vulnerabilità che aveva interessato anche un portafoglio hardware concorrente all’inizio di quest’anno.
Vulnerabilità “Bypass” nel portafoglio Bitcoin
Ben Ma, un ricercatore di sicurezza che lavora per il produttore di portafogli hardware Shift Crypto, ha scoperto che il portafoglio hardware Coldcard ha un bug: un utente malintenzionato potrebbe indurre un utente Coldcard a inviare una transazione bitcoin reale mentre è convinto di inviare una transazione “testnet” – o un pagamento sulla testing network di Bitcoin, che non è la stessa della mainnet.
Entrambe le transazioni bitcoin testnet e mainnet, tuttavia, sono la stessa identica cosa, scrive Ma nel suo post rivelando la vulnerabilità. Un utente malintenzionato, quindi, potrebbe generare una transazione mainnet bitcoin per il portafoglio hardware ma farla sembrare una transazione testnet.
La transazione mainnet viene presentata come una transazione testnet sul portafoglio dell’utente, rendendo difficile per gli utenti riconoscere il problema. Ma è venuto a conoscenza della vulnerabilità dopo che un ricercatore pseudonimo ha scoperto il cosiddetto hack “isolation bypass” nel portafoglio hardware di Ledger prodotto in Francia.
A differenza di Coldcard, Ledger supporta molte valute, quindi l’attacco bypass potrebbe funzionare inducendo gli utenti del portafoglio a inviare bitcoin quando intendono inviare litecoin e comprare bitcoin cash, oltre a BTC nella testnet.
Dopo la comunicazione responsabile del problema agli utenti, la vulnerabilità è stata risolta
Quando inizialmente è stata rivelata la vulnerabilità nel portafoglio Ledger, il fondatore di Coinkite e creatore di Coldcard Rodolfo Novak aveva detto: “Coldcard non supporta nessuno shitcoin, troviamo che sia il percorso migliore”, il che comportava che il suo portafoglio per bitcoin sarebbe stato al sicuro dal momento che il bug (in parte) derivava dal fatto che i dispositivi Ledger gestivano valute diverse utilizzando la stessa chiave privata.
Dal momento che Coldcard non supporta valute diverse, teoricamente non dovrebbe avere questo problema. E sarebbe stato così, se non fosse per il fatto che la vulnerabilità può essere sfruttata anche con indirizzi bitcoin testnet.
Se il computer di un utente è compromesso e il suo dispositivo Coldcard è sbloccato e connesso a quel computer, un utente malintenzionato potrebbe indurlo a inviare veri bitcoin quando pensa di inviare bitcoin testnet.
“L’aggressore deve semplicemente convincere l’utente, ad esempio, a “Provare una transazione testnet” o acquistare un ICO con monete testnet o qualsiasi cosa possa far eseguire all’utente una transazione testnet.
Dopo che l’utente ha confermato una transazione testnet, l’aggressore riceve la stessa quantità di bitcoin reali”, scrive Ma nel post. Considerando che un utente malintenzionato potrebbe eseguire questo attacco da remoto, il bug ha soddisfatto i criteri di Shift Crypto per la criticità, innescando il processo di comunicazione responsabile del problema.
Secondo il post, Ma ha rivelato la vulnerabilità a Coinkite il 4 agosto e Novak l’ha riconosciuta il giorno successivo. Il 23 novembre, Coldcard ha rilasciato un firmware beta per correggere la vulnerabilità.
