Um comunicado divulgado pelos desenvolvedores da carteira Samourai indica que a carteira Wasabi possui duas vulnerabilidades de privacidade que afetam as transações feitas com CoinJoin, enquanto a equipe Wasabi nega a existência dessas vulnerabilidades.

Em uma publicación Recentemente, a equipe de desenvolvimento do Samourai Wallet, uma carteira de privacidade para Bitcoin, ressalta que durante algumas investigações realizadas para conhecer o fluxo de bitcoins relacionado ao pirataria à plataforma Twitter, eles descobriram a presença de duas vulnerabilidades de privacidade em Carteira Wasabi, que talvez estejam presentes desde o início do séc. wallet e que algum agente malicioso já pode estar explorando-o. 

De acordo com afirmações da equipe por trás do Samourai, Pesquisa OTX, no passado já haviam encontrado diversos problemas relacionados à privacidade do Wasabi nas transações que utilizam CoinJoin, mas estes foram classificados como problemas de design e não como vulnerabilidades críticas. Então, o que diferencia esse caso é que os desenvolvedores afirmam que as vulnerabilidades detectadas estão na base de código da carteira, e que quebram a garantia ZeroLink quando as transações são feitas remixando uma saída mista, ação que elimina os benefícios de privacidade no acima das misturas de moedas. 

No entanto, embora a equipe Samourai tenha decidido informar de forma privada, mas imediatamente, Wasabi sobre essas vulnerabilidades, zkSNACKs Ltd, a equipe por trás do desenvolvimento da carteira afetada, nega que essas vulnerabilidades possam existir. Nesse sentido, zkSNACKs alega e acusa a OTX Research de participar de um conflito de interesses que visa afetar e prejudicar o desenvolvimento da carteira, principal competência do Samourai. 

Você pode estar interessado: Carteira Wasabi na mira da Europol e Chainalysis: Outro ataque à privacidade

48 horas para informar os usuários da Wasabi Wallet

Segundo declarações de Samourai, a equipe de investigadores esteve em contato direto com Adam Fissor, fundador da zkSNACKs Ldt e Dávid Molnar, CTO da empresa, bem como uma terceira pessoa neutra à situação. No comunicado, Samourai alega que informou Fucsor e Molnár sobre as vulnerabilidades, fornecendo provas e meios verificáveis ​​​​para reproduzir essas vulnerabilidades, algo que as equipas Wasabi receberam para analisar e reportar a situação. 

Porém, Samourai ressalta que deu 48 horas para Ficsor e Molnár informarem os usuários da carteira sobre essas vulnerabilidades, para que possam ser impedidos de usar a função CoinJoin até que as equipes relatem a solução para esses problemas. 

“Um usuário pode optar por não usar o recurso CoinJoin do software Wasabi Wallet durante o período em que uma solução ainda está em desenvolvimento, mas não seria capaz de tomar essa decisão se não fosse informado em primeiro lugar.” 

Com base no argumento de proteção dos usuários, a equipe da Samourai Wallet pediu à Wasabi que emitisse um comunicado oficial para alertar os usuários da carteira sobre o impacto das vulnerabilidades, e dizer-lhes como deveriam proceder diante da situação, pedido que a Fiscor interpretou como chantagem por parte de recusando-se a colaborar com eles. A Fiscor garante que existe um conflito de interesses por parte da OTX Research e da Samourai Wallet e por isso está divulgando informações falsas e criando sentimentos de urgência e medo por meio de técnicas de engenharia social. 

O fundador do zkSNACKs garante que não cairá no jogo, pois as supostas vulnerabilidades apontadas por Samourai indicam que um ator malicioso que conhece o UTXOs das transações no CoinJoin poderá descobrir qual moeda será misturada na próxima vez, algo impossível segundo Fiscor, já que os UTXOs só são conhecidos pelo próprio usuário. 

Samourai: Wasabi deixa migalhas pelo caminho

Em 2019, Samurai relatado através de seu canal Telegram sobre uma possível falta de privacidade no Wasabi, alertando os usuários que a carteira literalmente deixa “migalhas pelo caminho” quando executa transações mistas e estas são divididas em UTXOs menores. 

Em resumo, Samourai destacou que a maior diferença se encontra no Tx0, já que o Wasabi, ao misturar, por exemplo, 10 BTC, os retornos ou alterações dessas transações ficam associados à mistura tx, criando um elo determinante que permite o rastreamento das transações. 

Diante dessas afirmações, um usuário sob o pseudônimo SW apontou que existem formas de mitigar essas “migalhas”, mas que os usuários comuns não sabem ou não têm ideia de como fazê-lo. 

Continue lendo: Pesquisador descobre vulnerabilidade de segurança no Ledger que permite gastos em Bitcoin com assinaturas totalmente válidas