Wasabi Wallet Patches Fehler, der die Bitcoin-Datenschutzfunktion hätte vereiteln können

Benutzer von Wasabi Wallet müssen auf die neueste Version aktualisieren, wenn sie die CoinJoin-Funktion weiterhin verwenden möchten, um ihre Bitcoin-Transaktionshistorien privat zu halten.

Dies liegt daran, dass Benutzer älterer Iterationen der Brieftasche diese Funktion nicht mehr verwenden können, um ihre Münzen mit Benutzern zu mischen, die über die neueste Version verfügen.

Das Wasabi Wallet-Team hat die Brieftasche am Donnerstag hart gespalten, um eine Sicherheitslücke zu schließen, die von einem Teammitglied bei Trezor, einem führenden Hersteller von Hardware-Brieftaschen, entdeckt wurde. Ein Hard Fork ist eine Codeänderung, die ältere Versionen einer Software mit neueren nicht kompatibel macht.

Die Entdeckung des Fehlers ist ein weiteres Beispiel für die Kameradschaft und Zusammenarbeit der Open-Source-Community. Entwickler arbeiten ständig daran, die Software ihrer Kollegen zu verbessern, und viele Schwachstellen wurden während dieser Prozesse verantwortungsvoll aufgedeckt, um Fehler zu beheben, bevor sie von schlechten Akteuren ausgenutzt werden können. (Manchmal sind die Angaben der gegnerischen Teams jedoch weniger als herzlich, wie die lang anhaltenden Spannungen zwischen Wasabi und dem Rivalen Samourai Wallet belegen.)

Laut einem Blog-Beitrag von Wasabi Wallet hat der Trezor-Hardware-Wallet-Entwickler Ondřej Vejpustek dem Wasabi-Team am 10. Mai den potenziellen Denial-of-Service-Angriff (DoS) verantwortungsbewusst mitgeteilt (ein DoS-Angriff beinhaltet, dass ein Angreifer ein Netzwerk oder Protokoll mit der Hoffnung auf Spam spammt) Behinderung seiner Geschäftstätigkeit, daher „Denial of Service“).

„Vejpustek war von Anfang an sehr kooperativ und hat uns völlige Freiheit bei der Verwaltung der Offenlegung in Bezug auf Zeit und Kommunikation gelassen. Dies zeigt, wie wichtig eine ordnungsgemäße Kommunikation zwischen Sicherheitsforschern und Entwicklerteams ist. So sollte eine verantwortungsvolle Offenlegung sein “, sagte Ricabardo Masutti, Mitwirkender und Marketingstratege von Wasabi Wallet, gegenüber CoinDesk und fügte hinzu, dass Vejpustek für seine Bemühungen ein Bitcoin-Kopfgeld erhalten habe.

Dieser hypothetische DoS-Angriff, von dem Wasabi Wallet annimmt, dass er nie durchgeführt wurde, hätte die Implementierung von CoinJoin, einem Datenschutzprotokoll, mit dem Benutzer ihre Bitcoin mit anderen mischen können, um die Transaktionshistorie der Münzen zu verschleiern, beeinträchtigt.

Bei der CoinJoin-Implementierung von Wasabi Wallet muss jeder Teilnehmer so viel herausnehmen, wie er eingegeben hat. Wenn beispielsweise 10 Teilnehmer einem Mix für 0,1 BTC beitreten, muss jeder Benutzer genau diesen Betrag (zuzüglich einer Miner-Gebühr) senden und genau diesen erhalten Betrag, damit die Mischung erfolgreich ist und der Datenschutz von CoinJoin erhalten bleibt. Das Mischen von Münzen erschwert Blockchain-Snoops und neugierigen Parkern das Anheften von Bitcoin-Transaktionen an bekannte Adressen und die Identität ihrer Besitzer.

Die offenbarte DoS-Sicherheitsanfälligkeit hätte den Mischprozess gestoppt. Der Angreifer registriert Bitcoin für eine Mischung, ohne dass diese vom Koordinator der Mischung signiert (verifiziert) wird, und sendet gleichzeitig eine echte, verifizierte Transaktion an die Mischung.

Das Ergebnis wäre eine Inkongruenz zwischen dem Gesamtwert der Eingaben in CoinJoin und dem Wert der erwarteten Ausgaben. Infolgedessen würde der Koordinator unabsichtlich "eine Transaktion erstellen, die nicht gültig sein kann, da die Summe aller Eingaben geringer ist als die Summe aller Ausgaben", so die Analyse von Vejpustek.

Wenn der Angriff abgebrochen würde, würde dies den CoinJoin vereiteln, obwohl es dem Angreifer weder die Möglichkeit gegeben hätte, Münzen zu stehlen, noch könnten sie Peers in der Mischung dekanonymisieren.

Wasabi Wallet hat das Problem mit der am Donnerstag eingesetzten harten Gabel behoben. Dieses Upgrade wurde auf Version 1.1.12 der Brieftasche angewendet, die am 5. August veröffentlicht wurde.