У протоколі CoinJoin знайшли вразливість

Команда розробників гаманця Ginger Wallet, орієнтованого на конфіденційність та заснованого на форку Wasabi Wallet, усунула вразливість у протоколі CoinJoin WabiSabi. Ця проблема дозволяла зловмисникам деанонімізувати користувачів, повідомили розробники на GitHub.

Вразливість, виявлена програмістом під ніком drkgry, зачіпала версії Wasabi Wallet 2.2.1.0, Ginger Wallet 2.0.13, плагін BTCPay Server 1.0.101.0 і всі попередні релізи.

Уразливість дозволяла зловмиснику, який виступав координатором, призначати власні унікальні значення параметрів, таких як ключі і максимальні суми для облікових записів користувачів. Це відкривало можливість для відстеження дій учасників, кореляції входів і виходів, а також кластеризації гаманців, що призводило до деанонімізації.

Що таке CoinJoin

Технологія CoinJoin — це метод підвищення конфіденційності транзакцій у блокчейні, зокрема у мережі Біткоїна. Вона дозволяє об’єднувати входи та виходи кількох користувачів в одну транзакцію, створюючи складнощі для ідентифікації джерела та одержувача коштів. Завдяки цьому CoinJoin приховує зв’язок між конкретними адресами, що ускладнює аналіз блокчейну. Протокол WabiSabi координує цей процес, дозволяючи вносити різні суми в одному раунді, а інформація приховується завдяки використанню анонімних облікових записів.

Ця технологія використовувалася раніше у гаманцях, орієнтованих на конфіденційність, таких як Wasabi Wallet і Samourai Wallet, і дозволяла користувачам зберігати анонімність під час взаємодії з цифровими активами.

Гайди

Як безпечно зберігати біткоїни

Гайд із самостійного зберігання біткоїнів за допомогою апаратних гаманців для по...

Bitcoin Magazine 25 листопада 2023

Тиск на розробників з боку американської влади

У травні цього року компанія zkSNACKs (розробник Wasabi Wallet) ухвалила рішення про припинення роботи сервісу CoinJoin з метою відповідності вимогам законодавства США. Зрештою гаманець Wasabi Wallet продовжив функціонувати, але як звичайне розширення.

Крім того, прокуратура США також звинуватила двох співзасновників гаманця Samourai Wallet, який використовував CoinJoin, у сприянні відмиванню $100 млн для кіберзлочинців і підсанкційних осіб.