如果Wasabi Wallet用户想要继续使用CoinJoin功能以保持其比特币交易历史私密性,则需要升级到最新版本。
那是因为那些运行较早版本的钱包的人不能再使用此功能将其硬币与拥有最新版本的用户混合使用。
Wasabi Wallet团队在周四硬分叉了钱包,以解决由领先的硬件钱包制造商Trezor的团队成员发现的漏洞。 硬分叉是一种代码更改,使较旧版本的软件与较新版本不兼容。
该缺陷的发现是开源社区友善与合作的另一个例子。 开发人员一直在努力改善他们的同龄人的软件,并且在这些过程中以负责任的方式公开了许多漏洞,以修补缺陷,然后才能由不良行为者利用。 (但是,有时候,芥末和竞争对手Samourai Wallet之间长期存在的紧张关系证明了敌对团队所进行的披露不及其他信息。)
阅读更多:硬件钱包漏洞让攻击者无需接触设备即可获得加密赎金
根据Wasabi电子钱包的博客文章,Trezor硬件钱包开发人员Ond?ejVejpustek负责地向Wasabi团队披露了5月10日潜在的拒绝服务(DoS)攻击(DoS攻击意味着攻击者向充满希望的垃圾邮件或网络发送了垃圾邮件)妨碍其运营,因此“拒绝服务”)。
“ Vejpustek从一开始就非常合作,使我们在时间和沟通方面都完全自由地决定如何管理披露。 这证明了安全研究人员与开发团队之间进行适当沟通的重要性。 Wasabi钱包的贡献者和营销策略师Riccardo Masutti告诉CoinDesk,这是负责任的披露方式。他补充说,Vejpustek因其努力而获得了比特币赏金。
Wasabi Wallet假设从未进行过这种假设的DoS攻击,这会干扰钱包的CoinJoin实施,CoinJoin是一种隐私协议,允许用户将自己的比特币与其他人的比特币混合使用,以掩盖硬币的交易历史。
Wasabi Wallet的CoinJoin实现要求每个参与者拿出尽可能多的钱。例如,如果10个参与者加入0.1 BTC的混合货币,那么每个用户必须准确发送该金额(加上矿工费用),并且必须收取正确金额为使组合成功并保留CoinJoin的隐私保护所需的金额。 混合硬币使区块链侦探和爱管闲事的人更难将比特币交易固定在已知地址及其所有者的身份上。
阅读更多:Wasabi钱包正在改进其CoinJoin设计,以允许比特币与不同的值混合
公开的DoS漏洞将停止混合过程。 攻击者将为混合注册比特币,而无需混合的协调员对该比特币进行签名(验证),同时向混合提交真实,经过验证的交易。
结果将是对CoinJoin的投入的总价值与预期产出的价值之间的不一致。 因此,根据Vejpustek的分析,协调员会无意间“建立了一个无效的交易,因为所有输入的总和小于所有输出的总和”。
如果发起攻击,则将挫败CoinJoin,尽管它不会使攻击者能够窃取任何硬币,也无法使混合对象中的任何同行匿名。
Wasabi Wallet使用周四部署的硬分叉修补了此修复程序。 此升级适用于8月5日发布的钱包v.1.1.12。