La vulnérabilité WabiSabi permet aux coordinateurs malveillants de désanonymiser les utilisateurs de Coinjoin

• La vulnérabilité affecte Wasabi Wallet v2.2.1.0 ou version antérieure, Ginger Wallet v2.0.13 ou version antérieure et le plugin BTCPay coinjoin v1.0.101.0 ou version antérieure.

"Étant donné que cette attaque peut être menée sans éveiller les soupçons et en l’absence de contrôles côté client sur les événements émis précédemment, la vulnérabilité est hautement exploitable par toute partie gérant les services de coordination," a rapporté l’équipe derrière Ginger Wallet.

NOTE: Ginger Wallet est un fork de Wasabi Wallet qui filtre les entrées de pièces de monnaie avec une société partenaire de surveillance de la chaîne.

• Les versions concernées du protocole WabiSabi présentent une vulnérabilité en raison d’une validation inadéquate côté client des émetteurs d’informations d’identification. Il permet aux coordinateurs malveillants d’utiliser plusieurs émetteurs pour différencier les entrées des sorties, tracer la propriété des entrées et briser l’ensemble d’anonymat du processus coinjoin de Bitcoin, compromettant ainsi la confidentialité des utilisateurs.

• Tout coordinateur malveillant ayant un contrôle total sur un tour de coinjoin peut exploiter la vulnérabilité sans avoir besoin de privilèges spéciaux ou d’outils externes, ce qui facilite la compromission de la confidentialité des utilisateurs.

"Nous pensons que cette vulnérabilité n’est pas activement exploitée. Sur la base de tests effectués sur trois des coordinateurs les plus populaires, les réponses des États étaient cohérentes dans tous les cas," » a ajouté l’équipe GingerPrivacy.

Divulgation
L’article sur la rage / Archive
Article du magazine Bitcoin / Archive