Команда ориентированного на конфиденциальность кошелька Ginger Wallet — форка Wasabi Wallet — устранила уязвимость в CoinJoin-протоколе WabiSabi, которая позволяла деанонимизировать пользователей.
Обнаруженный программистом под ником drkgry баг затрагивает версии Wasabi Wallet 2.2.1.0, Ginger Wallet 2.0.13, плагин BTCPay Server 1.0.101.0 и их более ранние релизы.
Технология CoinJoin предоставляет возможность нескольким пользователям объединять свои входы и выходы в одну транзакцию. Такое смешивание монет не позволяет идентифицировать ее участников.
https://forklog.com/cryptorium/chto-takoe-coinjoin-chto-takoe-zerolink-chto-takoe-stonewallПротокол WabiSabi координирует этот процесс, позволяя клиентам вносить различные суммы в одном раунде. При этом вся информация скрывается при регистрации выходов за счет использования анонимных учетных записей.
Пользователи WabiSabi генерируют приватные аккаунты, среди прочего, с помощью параметров ключа и максимальной суммы. Уязвимость позволяла координатору-злоумышленнику назначать собственные уникальные значения этих критериев.
Это открывало возможность для отслеживания пользователей на протяжении всего процесса смешивания монет, обеспечивая корреляцию входов и выходов, кластеризацию кошельков и деанонимизацию данных.
Напомним, в мае компания zkSNACKs — разработчик Wasabi Wallet — приняла решение о прекращении работы сервиса CoinJoin с целью соответствия требованиям законодательства США.