В четверг команда Wasabi Wallet провела форк кошелька, чтобы устранить уязвимость, обнаруженную разработчиком ведущего производителя аппаратных кошельков Trezor. Согласно статье в блоге Wasabi Wallet, разработчик Trezor Ондржей Вейпустек (Ondřej Vejpustek) раскрыл информацию о потенциальной DoS-атаке команде Wasabi 10 мая.
«Вейпустек с самого начала активно сотрудничал с нами и дал нам полную свободу в отношении раскрытия информации об уязвимости, как с точки зрения времени, так и коммуникации. Это демонстрирует важность общения между исследователями по безопасности и командами разработчиков. Вот каким должно быть ответственное раскрытие информации», - сказал маркетинговый стратег Wasabi Wallet Рикардо Масутти (Riccardo Masutti), добавив, что Вейпустеку за его усилия выплачено вознаграждение в BTC.
Эта гипотетическая DoS-атака, которая по предположениям Wasabi Wallet никогда не проводилась, помешала бы реализации в кошельке функции CoinJoin - протокола конфиденциальности, который дает пользователям возможность микшировать свои BTC с другими, чтобы скрыть историю транзакций.
Реализация CoinJoin кошелька Wasabi требует, чтобы каждый участник получил столько же монет, сколько и внес для микширования. Если, например, десять участников присоединяются к микшированию 0.1 BTC, то каждый пользователь должен отправить именно эту сумму и получить столько же BTC для успешного микширования и сохранения конфиденциальности CoinJoin.
Обнаруженная уязвимость остановила бы процесс микширования. Злоумышленник мог бы внести биткоины для микширования без проверки его BTC координатором микширования, одновременно отправляя реальную, подтвержденную транзакцию для смешивания.
Это привело бы к несоответствию между общим размером входов в CoinJoin и размером ожидаемых выходов. В результате координатор невольно «создал бы транзакцию, которая не может быть действительной, поскольку сумма всех входов меньше суммы всех выходов». Если бы атака была осуществлена, это помешало бы реализации функции CoinJoin, хотя и не дало бы злоумышленнику возможности украсть монеты, и не позволило бы раскрыть информацию участников микширования.
Wasabi Wallet исправил эту проблему с помощью форка, опубликованного в четверг. Это обновление было применено к версии 1.1.12 кошелька, выпущенной 5 августа.
Напомним, что недавно разработчики кошелька Wasabi Wallet заявили о планах по созданию собственной технологии WabiSabi вместо функции конфиденциальности транзакций CoinJoin.