Обнаруженный баг меняет значения для осуществления транзакций, в результате чего, фактическая сумма для перевода меняется местами на сумму, предназначенную для оплаты комиссии.
Таким образом, в случае отправке 20 BTC с общей комиссией ~ 0.00000001 BTC, злоумышленник может поменять местами суммы, в результате чего, на комиссионные издержки пользователь тратит уже 20 BTC, а фактическая сумма операции составляет 0.00000001 BTC.
Впрочем, как отмечают в Trezor, для осуществления такой атаки злоумышленник должен быть биткоин-майнером и верифицировать именно тот блок, в который была бы включена транзакция на 20 BTC. Несмотря на то, что вероятность такого совпадения невелика, сообщество крипторазработчиков обеспокоено обнаруженным багом.
Куда хуже обстоят дела для владельцев Trezor, использующих «холодный» кошелек для сервисов BTCPay Server или Wasabi. После выпущенного в Trezor обновления, которое должно было решить вопрос с подменной комиссии, пользователи могут и вовсе лишиться своих средств при использовании BTCPay Server, Wasabi или HWI. Транзакция попросту застрянет, пока не выйдет новая прошивка программного обеспечения, объясняет разработчик Wasabi Wallet с ником @nopara73 у себя на странице в Twitter.