Bitcoin SV Multisig plånbok, ElectrumSV, exploaterad; Att sätta riktiga användares BSV i fara

Bitcoin SV har en kritisk bugg i sina multisig-plånböcker, vilket sätter „zillioner av medel“ i fara.

Inga verkliga medel har gått förlorade, säger ett uttalande på Reddit.
Användare varnas för att skicka BSV-tokens till ElectrumSV multisig-kontraktet.

Ett Reddit-inlägg av före detta Blockstream-utvecklare och grundare Gregory Maxwell säger att Bitcoin SV: s multisig-kontrakt inte längre ger någon säkerhet för användarna, vilket orsakar förlust av alla BSV-token. Inga verkliga användarfonder har dock påverkats av det kritiska felet. uttalandet lyder.

I ett försök att erbjuda användarna ett snabbare och billigare betalningssystem var Crypto Engine tvunget att göra några ändringar i Bitcoin Cashs konsensusregler under hårdgaffeln i november 2018. En av de viktigaste förändringarna var att riva ut P2SH, eller betala till- script-hash, vilket gör det möjligt för en användare att skicka en transaktion till ett „script“ snarare än till en offentlig nyckeladress. Detta var viktigt för användare som loggar in på multisig-adresser, vilket är plånbokadresser som kräver flera privata nycklar för att signera transaktionen.

BSV övergav P2SH med en hemavlösning i “Electrumsv (och förmodligen någon annanstans)” som kallas ackumulator multisig, vilket är ett manus som ser ut som en P2PKH, eller betala till allmän nyckelhash, men lägger till ”antalet pass och jämför dem till en tröskel. ” Problemet uppstår på tröskelvärdet, där istället för att acceptera X-signaturer eller mer kodade utvecklarna istället för att acceptera X-signaturer eller mindre.

Electrumsv släppte ett uttalande på måndag och bad användarna att inte skicka pengar till ackumulatorns multisig-plånbok för att undvika att förlora sina pengar.

Ändra inte skripttypen på din plånbok, och speciellt ändra den inte till ackumulatorns multisignatur. Som en av våra användare tyvärr fick reda på är den trasig och att använda den kommer att leda till förlust av mynt.

Enligt Maxwell testade utvecklarna inte multisig-lösningen tillräckligt bra, bara för att kontrollera om för många signaturer skulle ge upphov till ett problem, men utesluta konsekvenserna av färre signaturer till multisig-plånböckerna. Han skriver,

„Resultatet är att dessa skript inte hade någon säkerhet alls och bara kunde spenderas av en skriptsig som skjuter ett par nollor.“

En användare, Aaron67, hävdar att han förlorade 600 BSV (~ 94 800 $) på grund av exploateringskoden när han skickade sina tokens till multisig-plånboken – förlorade varje enskild token. Han förklarar att han trodde att det var säkert att skicka pengar till plånboken eftersom den presenterades av CoinGeek, en webbplats som drivs av Calvin Ayre, en nära vän till nChains och Bitcoin SV-grundare, Craig Wright. Enligt ElectrumSV-teamet kom de skadliga buggarna från utvecklarna på nChain.

En misslyckad kodändring på Bitcoin SV

Enligt Maxwell är det nuvarande BSV-felet inte klart om det var ett ärligt misstag eller en bluff från utvecklare. Men han varnar användare från att skicka stora mängder med skript som är skyldiga att vara bluff eller byggda av utvecklare som lätt luras.

Även om den kritiska buggen är oavsiktlig, hävdar Maxwell att felet kan undvikas om utvecklarna tog sig tid att kontrollera och testa den hemavbrutna multisig-plånboken. Dessutom kunde frågan helt undvikas om BSV-utvecklarna inte tömde „de kompetenta, tidstestade och mycket peer-reviewed mekanismerna“ som användes på Bitcoin multisig-plånbok till förmån för den mindre testade BSV-homebred ackumulator multisig-lösningen.

I sina avslutande anmärkningar säger Maxwell att närvaron av ett så enkelt kodfel visar att det kan finnas andra problem med BSV-koden.

„Kinda får dig att undra vilka fantastiska buggar som lurar i deras nodprogramvara eller plånböcker“, säger han. „Jag kan säga säkert: Jag kommer inte att köra något av det och riskera att ta reda på det.“

Related Post