Un comunicado emitido por los desarrolladores de la wallet Samourai indica que el monedero Wasabi presenta dos vulnerabilidades de privacidad que afectan las transacciones realizadas con CoinJoin, mientras que el equipo de Wasabi niega la existencia de estas vulnerabilidades.
En una publicación reciente, el equipo de desarrolladores de Samourai Wallet, un monedero de privacidad para Bitcoin, señala que durante unas investigaciones realizadas para conocer el flujo de bitcoins relacionados con el hackeo a la plataforma de Twitter, descubrieron la presencia de dos vulnerabilidades de privacidad en Wasabi Wallet, que quizás están presentes desde el inicio de la wallet y que algún actor malicioso ya puede estar explotando.
Según las afirmaciones del equipo detrás de Samourai, OTX Research, en el pasado ya habían encontrado varios problemas relacionados con la privacidad de Wasabi en las transacciones que utilizan CoinJoin, pero estos se clasificaron como problemas de diseño y no como vulnerabilidades críticas. Entonces, lo que hace diferente este caso, es que los desarrolladores aseguran que las vulnerabilidades detectadas están en la base del código de la wallet, y que rompen la garantía de ZeroLink cuando se hacen transacciones remezclando una salida mixta, una acción que elimina los beneficios de la privacidad en las mezclas de monedas anteriores.
Sin embargo, pese a que el equipo de Samourai decidió informar de manera privada pero inmediata a Wasabi sobre estas vulnerabilidades, zkSNACKs Ltd, el equipo detrás del desarrollo de la wallet afectada, niega que estas vulnerabilidades puedan existir. En este sentido, zkSNACKs alega y acusa a OTX Research de estar participando en un conflicto de intereses que busca afectar y perjudicar el desarrollo del monedero, que es la principal competencia de Samourai.
Te puede interesar: Wasabi Wallet en la mira de Europol y Chainalysis: Otro ataque a la privacidad
48 horas para informar a los usuarios de Wasabi Wallet
Según las declaraciones de Samourai, el equipo de investigadores se puso en contacto directo con Adam Ficsor, fundador de zkSNACKs Ldt y Dávid Molnár, CTO de la compañía, además de una tercera persona neutral a la situación. En el comunicado, Samourai alega que informó a Fucsor y Molnár sobre las vulnerabilidades proporcionando pruebas y un medio verificable para reproducir dichas vulnerabilidades, algo que los equipos de Wasabi recibieron para analizar e informar sobre la situación.
No obstante, Samourai señala que le dio 48 horas a Ficsor y Molnár para informar a los usuarios del monedero sobre estas vulnerabilidades, para que así puedan estar prevenidos de no utilizar la función CoinJoin hasta que los equipos informen sobre la solución de estos problemas.
“Un usuario puede optar por no usar la función CoinJoin del software Wasabi Wallet durante el período de tiempo en el que una solución aún está en desarrollo, pero no podría tomar esa decisión si no se le informara en primer lugar”.
Basándose en el argumento de proteger a los usuarios, el equipo de Samourai Wallet solicitó a Wasabi emitir un comunicado oficial para alertar a los usuarios de la wallet sobre el impacto de las vulnerabilidades, e indicarles cómo deberían de proceder ante la situación, una solicitud que Fiscor tomó como chantaje negándose a colaborar con ellos. Fiscor asegura que existe un conflicto de intereses por parte de OTX Research y Samourai Wallet y que por ello está divulgando información falsa y creando sensaciones de urgencia y de miedo a través de técnicas de ingeniería social.
El fundador de zkSNACKs asegura que no caerá en el juego, ya que las supuestas vulnerabilidades que señala Samourai indican que un actor malicioso que conozca las UTXOs de las transacciones en CoinJoin podrá descubrir qué moneda se mezclará la siguiente vez, algo que es imposible según Fiscor, ya que las UTXO solo las conoce el mismo usuario.
Samourai: Wasabi deja migas a lo largo del camino
En 2019, Samourai informó a través de su canal en Telegram sobre una posible falta de privacidad en Wasabi, alertando a los usuarios de que la wallet deja literalmente “migas a lo largo del camino” cuando ejecuta transacciones de mezcla y estas se van desglosando en UTXOs más pequeñas.
En resumen, Samourai señaló que la mayor diferencia se encuentra en el Tx0, ya que Wasabi, al mezclar por ejemplo 10 BTC, las vueltas o cambios de estas transacciones quedan asociadas a la mezcla tx, creando un vínculo determinante que permite el rastreo de las transacciones hasta su finalización.
Ante estas declaraciones, un usuario bajo el pseudónimo de SW señaló que hay formas de mitigar estas “migas” pero que los usuarios comunes no conocen o no tienen idea de como hacerlo.
Continúa leyendo: Investigador descubre vulnerabilidad de seguridad en Ledger que permite el gasto de Bitcoin con firmas totalmente válidas