(盖蒂图片社)
Wasabi钱包用户如果想继续使用CoinJoin功能来保持比特币交易历史的隐私,则需要升级到最新版本。
这是因为那些运行旧版钱包的用户不能再使用这个功能来将他们的硬币与拥有最新版本的用户混合。
Wasabi钱包团队周四对钱包进行了硬分叉处理,以解决硬件钱包领先制造商Trezor的一名团队成员发现的漏洞。硬分叉是一种代码更改,它使软件的旧版本与新版本不兼容。
阿拉德里亚的另一个发现和合作的例子是阿拉德里亚的另一个缺陷。开发人员不断地修补以改进其同行的软件,在这些过程中,许多漏洞已经被负责任地披露出来,以便在漏洞被坏人利用之前修补漏洞。(不过,有时候,对手团队的披露并不那么诚恳,Wasabi和竞争对手Samourai Wallet之间的长期紧张关系就是明证。)
更多信息:硬件钱包漏洞让攻击者在不接触设备的情况下持有加密勒索
根据Wasabi Wallet的一篇博客文章,Trezor hardware Wallet开发者Ondřej Vejpustek于5月10日向Wasabi团队负责任地披露了潜在的拒绝服务(DoS)攻击(DoS攻击意味着攻击者向网络或协议发送垃圾邮件,希望借此阻止其操作,因此“拒绝服务”)。
“Vejpustek从一开始就非常合作,在如何管理披露方面给我们留下了完全的自由,无论是在时间上还是在交流方面。这说明了安全研究人员和开发团队之间适当沟通的重要性。Wasabi钱包撰稿人兼营销策略师里卡多·马苏蒂(Riccardo Masutti)告诉CoinDesk,并称Vejpustek因其努力获得比特币奖励。
这种假设的DoS攻击(Wasabi Wallet认为从未实施过)会干扰钱包对CoinJoin的实施,CoinJoin是一种隐私协议,允许用户将自己的比特币与他人的比特币混合,以掩盖硬币的交易历史。
Wasabi Wallet的CoinJoin实施要求每个参与者拿出他们投入的金额。例如,如果10个参与者加入了一个0.1 BTC的组合,那么每个用户都必须准确地发送该金额(加上采矿费),并且必须收到该金额才能使组合成功并保留CoinJoin的隐私保护。混合硬币使得区块链窥探者和爱管闲事的帕克人更难将比特币交易锁定到已知地址及其所有者的身份。
导读:Wasabi钱包正在改进其CoinJoin设计,允许比特币与不同价值混合
公开的DoS漏洞会停止混合过程。攻击者将注册一个混合比特币,而不需要混合体的协调器对该比特币进行签名(验证),同时向混合体提交一个真实的、经过验证的交易。
其结果将是对CoinJoin的输入总值与预期输出值之间的不一致。因此,根据Vejpustek的分析,协调器会无意中“构建一个无效的事务,因为所有输入的总和小于所有输出的总和”。
如果攻击成功,它将挫败CoinJoin,尽管它不会给攻击者窃取任何硬币的能力,也不会使混合中的任何同龄人去名字化。
Wasabi Wallet用周四部署的硬盘修复了这个问题。此升级应用于8月5日发布的钱包v.1.1.12。