У CoinJoin-протоколі WabiSabi виявили вразливість

Команда орієнтованого на конфіденційність гаманця Ginger Wallet — форка Wasabi Wallet — усунула вразливість у CoinJoin-протоколі WabiSabi, яка давала змогу деанонімізувати користувачів.

Виявлений програмістом під ніком drkgry баг зачіпає версії Wasabi Wallet 2.2.1.0, Ginger Wallet 2.0.13, плагін BTCPay Server 1.0.101.0 і їхні більш ранні релізи.

Технологія CoinJoin надає можливість кільком користувачам об’єднувати свої входи та виходи в одну транзакцію. Таке змішування монет не дає змоги ідентифікувати її учасників.

Протокол WabiSabi координує цей процес, дозволяючи клієнтам вносити різні суми в одному раунді. При цьому вся інформація приховується під час реєстрації виходів завдяки використанню анонімних облікових записів.

Користувачі WabiSabi генерують приватні акаунти, серед іншого, за допомогою параметрів ключа і максимальної суми. Уразливість дозволяла координатору-зловмиснику призначати власні унікальні значення цих критеріїв.

Це відкривало можливість для відстеження користувачів протягом усього процесу змішування монет, забезпечуючи кореляцію входів і виходів, кластеризацію гаманців і деанонімізацію даних.

Нагадаємо, у травні компанія zkSNACKs — розробник Wasabi Wallet — ухвалила рішення про припинення роботи сервісу CoinJoin з метою відповідності вимогам законодавства США.