Portfel sprzętowy obsługujący wyłącznie bitcoiny Firma Coldcard wydała łatkę oprogramowania sprzętowego w wersji beta usuwającą lukę, która na początku tego roku dotknęła także konkurencyjny portfel sprzętowy.
Luka „Bypass” w portfelu Bitcoin
Ben Ma, badacz bezpieczeństwa pracujący dla producenta portfeli sprzętowych Shift Crypto, odkrył, że portfel sprzętowy Coldcard ma błąd: osoba atakująca może oszukać użytkownika Coldcard do wysłania prawdziwej transakcji Bitcoin, będąc przekonanym, że wysyła transakcję „testnet” – lub płatność w sieci testowej Bitcoin, która nie jest tym samym, co sieć główna.
Jednak transakcje bitcoinami zarówno w sieci testowej, jak i w sieci głównej są dokładnie tym samym, pisze Ma w swoim poście ujawniającym lukę. Osoba atakująca może zatem wygenerować transakcję bitcoinową w sieci głównej dla portfela sprzętowego, ale sprawić, by wyglądała jak transakcja w sieci testowej.
Transakcja w sieci głównej jest prezentowana w portfelu użytkownika jako transakcja sieci testowej, co utrudnia użytkownikom rozpoznanie problemu. Jednak dowiedział się o tej luce po tym, jak pseudonimowy badacz odkrył tak zwane włamanie polegające na „obejściu izolacji” w portfelu sprzętowym Ledgera wyprodukowanym we Francji.
W przeciwieństwie do Coldcard, Ledger obsługuje wiele walut, więc atak obejściowy może zadziałać poprzez nakłonienie użytkowników portfela do wysłania bitcoinów, gdy zamierzają wysłać litecoiny i kup bitcoiny gotówką, a także BTC w sieci testowej.
Po odpowiedzialnym powiadomieniu użytkowników o problemie, luka została usunięta
Kiedy początkowo ujawniono lukę w portfelu Ledger, założyciel Coinkite i twórca Coldcard Rodolfo Novak powiedział: „Coldcard nie obsługuje żadnych shitcoinów, uważamy to za najlepszą ścieżkę”, co oznaczało, że jego portfel bitcoinów będzie bezpieczny od czasu wystąpienia błędu (częściowo) wynikało z faktu, że urządzenia Ledger obsługiwały różne waluty przy użyciu tego samego klucza prywatnego.
Ponieważ Coldcard nie obsługuje różnych walut, teoretycznie nie powinien mieć tego problemu. I byłoby tak, gdyby nie fakt, że lukę można wykorzystać także przy użyciu adresów bitcoin w sieci testnet.
Jeśli komputer użytkownika zostanie naruszony, a jego urządzenie Coldcard zostanie odblokowane i podłączone do tego komputera, osoba atakująca może oszukać go do wysłania prawdziwych bitcoinów, gdy wydaje mu się, że wysyła bitcoiny z sieci testowej.
„Atakujący musi po prostu przekonać użytkownika, aby na przykład „wypróbował transakcję testnetową” lub kupił ICO za monety testnetowe lub cokolwiek, co może skłonić użytkownika do przeprowadzenia transakcji testnetowej.
Gdy użytkownik potwierdzi transakcję testnetową, atakujący otrzymuje taką samą ilość prawdziwych bitcoinów” – pisze Ma w poście. Biorąc pod uwagę, że osoba atakująca może przeprowadzić ten atak zdalnie, błąd spełnił kryteria krytyczności Shift Crypto, uruchamiając proces komunikacji odpowiedzialny za problem.
Z postu wynika, że Ma ujawnił lukę w zabezpieczeniach Coinkite 4 sierpnia, a Novak potwierdził ją następnego dnia. 23 listopada Coldcard wypuściło oprogramowanie w wersji beta łatające lukę.
