Le portefeuille Wasabi corrige une faille qui aurait pu contrecarrer la fonctionnalité de confidentialité Bitcoin


3. September 2020

Les utilisateurs de Wasabi Wallet doivent passer à la dernière version s’ils souhaitent continuer à utiliser la fonctionnalité CoinJoin pour garder leurs historiques de transactions Bitcoin privés.

En effet, ceux qui exécutent des itérations plus anciennes du portefeuille ne peuvent plus utiliser cette fonctionnalité pour mélanger leurs pièces avec des utilisateurs disposant de la dernière version

L’équipe Wasabi Wallet a forcé le portefeuille jeudi pour remédier à une vulnérabilité découverte par un membre de l’équipe de Bitcoin Evolution, l’un des principaux fabricants de portefeuilles matériels. Un hard fork est un changement de code qui rend les anciennes versions d’un logiciel incompatibles avec les plus récentes.

La découverte de la faille est un autre exemple de la camaraderie et de la coopération de la communauté open-source. Les développeurs bricolent constamment pour améliorer les logiciels de leurs pairs, et de nombreuses vulnérabilités ont été divulguées de manière responsable au cours de ces processus pour corriger les failles avant qu’elles ne puissent être exploitées par de mauvais acteurs. (Parfois, cependant, les révélations des équipes rivales sont moins que cordiales, comme en témoignent les tensions de longue date entre Wasabi et son rival Samourai Wallet.)

Lire la suite: La faille du portefeuille matériel permet aux attaquants de détenir une crypto contre une rançon sans toucher l’appareil

Selon un article de blog Wasabi Wallet , le développeur de portefeuille matériel Trezor, Ondřej Vejpustek, a divulgué de manière responsable l’attaque potentielle de déni de service (DoS) à l’équipe Wasabi le 10 mai (une attaque DoS implique un attaquant spammant un réseau ou un protocole dans l’espoir de contrecarrer ses opérations, d’où «déni de service»).

«Vejpustek a été très coopératif depuis le début et nous a laissé une totale liberté sur la façon de gérer la divulgation, à la fois en termes de temps et de communication. Cela démontre l’importance d’une bonne communication entre les chercheurs en sécurité et les équipes de développement. C’est ainsi qu’une divulgation responsable devrait être », a déclaré Riccardo Masutti, contributeur de Wasabi Wallet et stratège marketing, à CoinDesk, ajoutant que Vejpustek avait reçu une prime en bitcoins pour ses efforts.

Cette hypothétique attaque DoS, qui, selon Wasabi Wallet, n’a jamais été effectuée, aurait interféré avec la mise en œuvre du portefeuille de CoinJoin, un protocole de confidentialité qui permet aux utilisateurs de mélanger leur bitcoin avec d’autres pour masquer l’historique des transactions des pièces.

La mise en œuvre CoinJoin de Wasabi Wallet exige que chaque participant en retire autant qu’il en a mis. Si, par exemple, 10 participants rejoignent un mix pour 0,1 BTC, chaque utilisateur doit envoyer exactement ce montant (plus des frais de mineur) et doit recevoir exactement ce montant. montant pour que le mélange réussisse et conserve les protections de confidentialité de CoinJoin. Le mélange de pièces rend plus difficile pour les fouineurs de la blockchain et les parkers curieux d’épingler des transactions Bitcoin à des adresses connues et à l’identité de leurs propriétaires.

Lire la suite: Wasabi Wallet réorganise sa conception CoinJoin pour permettre le mélange de Bitcoin avec des valeurs différentes

La vulnérabilité DoS révélée aurait interrompu le processus de mélange. L’attaquant enregistrerait le bitcoin pour un mix sans que ce bitcoin soit signé (vérifié) par le coordinateur du mix, tout en soumettant en même temps une transaction réelle et vérifiée au mix.

Le résultat serait une incongruité entre la valeur totale des entrées apportées au CoinJoin et la valeur des extrants attendus. En conséquence, le coordinateur «construirait involontairement une transaction qui ne peut pas être valide, puisque la somme de toutes les entrées est inférieure à la somme de toutes les sorties», selon l’analyse de Vejpustek.

Si l’attaque était réussie, cela déjouerait le CoinJoin, même si cela n’aurait pas donné à l’attaquant la possibilité de voler des pièces ni de désanonymiser les pairs du mélange.

Wasabi Wallet a corrigé le correctif avec le hard fork déployé jeudi. Cette mise à niveau a été appliquée à la version 1.1.12 du portefeuille, qui a été publiée le 5 août.

Related