Una dichiarazione rilasciata dagli sviluppatori del portafoglio Samourai indica che il portafoglio Wasabi presenta due vulnerabilità della privacy che interessano le transazioni effettuate con CoinJoin, mentre il team Wasabi nega l'esistenza di queste vulnerabilità.
in un pubblicazione Recentemente, il team di sviluppo di Samourai Wallet, un portafoglio per la privacy per Bitcoin, sottolinea che nel corso di alcune indagini effettuate per conoscere i flussi di bitcoin relativi al hackerare alla piattaforma Twitter, hanno scoperto la presenza di due vulnerabilità della privacy in Portafoglio Wasabi, che forse erano presenti fin dall'inizio del portafoglio e che qualche attore malintenzionato potrebbe già sfruttarlo.
Secondo le affermazioni del team dietro Samourai, Ricerca OTX, già in passato avevano riscontrato diversi problemi legati alla privacy di Wasabi nelle transazioni di cui si avvalgono CoinJoin, ma questi sono stati classificati come problemi di progettazione e non come vulnerabilità critiche. Quindi, ciò che rende questo caso diverso è che gli sviluppatori sostengono che le vulnerabilità rilevate risiedono nel codice base del portafoglio e che infrangono la garanzia ZeroLink quando le transazioni vengono effettuate remixando un output misto, un'azione che elimina i vantaggi della privacy nel sopra i mix di monete.
Tuttavia, anche se il team Samourai ha deciso di informare privatamente ma immediatamente Wasabi di queste vulnerabilità, zkSNACKs Ltd, il team dietro lo sviluppo del portafoglio interessato, nega che queste vulnerabilità possano esistere. In questo senso, zkSNACKs sostiene e accusa OTX Research di partecipare a un conflitto di interessi che cerca di influenzare e danneggiare lo sviluppo del portafoglio, che è la principale competenza di Samourai.
Si può essere interessati: Wasabi Wallet nel mirino di Europol e Chainalysis: un altro attacco alla privacy
48 ore per informare gli utenti di Wasabi Wallet
Secondo le dichiarazioni di Samourai la squadra di investigatori era in contatto diretto con lui Adam Fisor, fondatore di zkSNACKs Ldt e David Molnár, CTO dell'azienda, nonché una terza persona neutrale rispetto alla situazione. Nella dichiarazione, Samourai afferma di aver informato Fucsor e Molnár delle vulnerabilità fornendo prove e mezzi verificabili per riprodurre tali vulnerabilità, qualcosa che ai team Wasabi è stato dato di analizzare e riferire sulla situazione.
Tuttavia, Samourai sottolinea di aver concesso a Ficsor e Molnár 48 ore per informare gli utenti del portafoglio di queste vulnerabilità, in modo che si possa impedire loro di utilizzare la funzione CoinJoin finché i team non riferiranno sulla soluzione a questi problemi.
"Un utente può scegliere di non utilizzare la funzionalità CoinJoin del software Wasabi Wallet durante il periodo di tempo in cui una soluzione è ancora in fase di sviluppo, ma non sarebbe in grado di prendere tale decisione se non fosse stato informato in primo luogo."
Basandosi sull'argomento della protezione degli utenti, il team di Samourai Wallet ha chiesto a Wasabi di rilasciare una dichiarazione ufficiale per avvisare gli utenti del portafoglio sull'impatto delle vulnerabilità e dire loro come dovrebbero procedere nella situazione, richiesta che Fiscor ha interpretato come un ricatto da parte di rifiutandosi di collaborare con loro. Fiscor assicura che esiste un conflitto di interessi da parte di OTX Research e Samourai Wallet e che quindi sta diffondendo informazioni false e creando sentimenti di urgenza e paura attraverso tecniche di ingegneria sociale.
Il fondatore di zkSNACKs assicura che non cadrà nel gioco, poiché le presunte vulnerabilità segnalate da Samourai indicano che un attore malintenzionato che conosce il UTXOs delle transazioni su CoinJoin potranno scoprire quale moneta verrà mixata la prossima volta, cosa impossibile secondo Fiscor, poiché gli UTXO sono noti solo all'utente stesso.
Samourai: Wasabi lascia le briciole lungo la strada
Nel 2019, Samurai ha informato attraverso il proprio canale Telegram su una possibile mancanza di privacy in Wasabi, avvisando gli utenti che il portafoglio lascia letteralmente “briciole lungo il percorso” quando esegue transazioni di mixaggio e queste vengono scomposte in UTXO più piccole.
In sintesi, Samourai ha sottolineato che la differenza più grande si riscontra nel Tx0, poiché Wasabi, quando si mescolano, ad esempio, 10 BTC, i rendimenti o i cambiamenti di queste transazioni sono associati alla miscela tx, creando un collegamento determinante che ne consente il tracciamento delle transazioni fino al completamento.
Alla luce di queste affermazioni, un utente con lo pseudonimo SW ha sottolineato che esistono modi per mitigare queste “briciole” ma che gli utenti comuni non sanno o non hanno idea di come farlo.
Continua a leggere: Un ricercatore scopre una vulnerabilità di sicurezza in Ledger che consente la spesa in Bitcoin con firme pienamente valide
