Разработчики Samourai Wallet сообщили, что ранее уже находили некоторые проблемы в реализации технологии микширования CoinJoin в кошельке Wasabi Wallet. Однако, по их словам, это были не уязвимости, а всего лишь «плохие дизайнерские решения».
После июльского взлома социальной сети Twitter разработчики решили детально проанализировать код Wasabi Wallet, чтобы найти способ идентифицировать или другим способом выйти на хакера. Напомним, что, как сообщила аналитическая компания Elliptic, 22% полученных после взлома аккаунтов Twitter биткоинов были перечислены на кошелек Wasabi Wallet.
«После обширного тестирования и исследования мы смогли подтвердить наличие двух уязвимостей, причем существуют они с момента создания кошелька Wasabi Wallet», – пишут исследователи.
Уязвимостям был присвоен статус критических, так как они позволяют «сломать» гарантию ZeroLink предыдущей транзакции, что сводит на нет эффективность микширования. Уязвимости существуют долгое время и, по мнению специалистов OXT Research, кто-то менее этичный давно обнаружил их и использует для своей выгоды.
Специалисты OXT Research сообщили об этом основателю стоящей за разработкой Wasabi Wallet компании zkSNACKs Адаму Фиксору (Adam Ficsor) и техническому директору компании Давиду Мольнару (Dávid Molnár). Однако представители zkSNACKs решили, что OXT Research пытается шантажировать компанию и прекратили с ней всяческое общение.
После этого OXT Research опубликовала статью об уязвимостях в Wasabi Wallet. Разработчики Samourai Wallet настоятельно рекомендуют пользователям Wasabi Wallet воздержаться от использования функции CoinJoin, а представителям zkSNACKs они посоветовали подумать и связаться с руководством OXT Research.