Le portefeuille Wasabi corrige une faille qui aurait pu compromettre la fonctionnalité de Politique de confidentialité de Bitcoin

Portefeuille Wasabi les utilisateurs doivent passer à la dernière version s'ils souhaitent continuer à utiliser la fonctionnalité CoinJoin pour KEEP leurs historiques de transactions Bitcoin privés.

C’est parce que ceux qui utilisent d’anciennes versions du portefeuille ne peuvent plus utiliser cette fonctionnalité pour mélanger leurs pièces avec celles des utilisateurs qui disposent de la version la plus récente.

L'équipe Wasabi Wallet a procédé jeudi à un hard fork du portefeuille afin de corriger une vulnérabilité découverte par un membre de Trezor, l'un des principaux Maker de portefeuilles matériels. Un hard fork est une modification du code qui rend les anciennes versions d'un logiciel incompatibles avec les plus récentes.

La À découvrir de cette faille est un nouvel exemple de la camaraderie et de la coopération au sein de la communauté open source. Les développeurs peaufinent constamment leurs logiciels pour les améliorer, et beaucoup vulnérabilités ont été divulgué de manière responsableau cours de ces processus pour corriger les failles avant qu'elles ne puissent être exploitées par des acteurs malveillants. (Parfois, cependant, les divulgations par des équipes rivales sont moins que cordiales, comme en témoigne letensions de longue dateentre Wasabi et son rival Samourai Wallet.)

Sur le même sujet : Une faille dans le portefeuille matériel permet aux pirates de conserver des Crypto contre rançon sans toucher l'appareil.

Selon un portefeuille Wasabiarticle de blogLe développeur du portefeuille matériel Trezor, Ondřej Vejpustek, a révélé de manière responsable l'attaque potentielle par déni de service (DoS) à l'équipe Wasabi le 10 mai (une attaque DoS implique qu'un attaquant spamme un réseau ou un protocole dans l'espoir de contrecarrer ses opérations, d'où le « déni de service »).

« Vejpustek s'est montré très coopératif depuis le début et nous a laissé une totale liberté quant à la gestion de la Déclaration de transparence, tant en termes de temps que de communication. Cela démontre l'importance d'une bonne communication entre les chercheurs en sécurité et les équipes de développement. C'est ainsi que devrait se dérouler une Déclaration de transparence responsable », a déclaré Riccardo Masutti, contributeur et stratège marketing de Wasabi Wallet, à CoinDesk, ajoutant que Vejpustek avait reçu une prime en Bitcoin pour ses efforts.

Cette attaque DoS hypothétique, quiPortefeuille Wasabi suppose que cela n'a jamais été réalisé, aurait interféré avec la mise en œuvre du portefeuille CoinJoin, un protocole de Politique de confidentialité qui permet aux utilisateurs de mélanger leurs Bitcoin avec ceux des autres pour masquer l'historique des transactions des pièces.

L'implémentation CoinJoin de Wasabi Wallet exige que chaque participant retire autant qu'il a investi. Si, par exemple, 10 participants rejoignent un mix pour 0,1 BTC, chaque utilisateur doit envoyer exactement ce montant (plus des frais de minage) et recevoir ce montant exact pour que le mix soit réussi et que la Politique de confidentialité de CoinJoin soit préservée. Le mixage de cryptomonnaies rend plus difficile pour les espions de la blockchain et les curieux d'associer les transactions Bitcoin à des adresses connues et à l'identité de leurs propriétaires.

Sur le même sujet : Le portefeuille Wasabi renouvelle sa conception CoinJoin pour permettre le mélange de Bitcoin de différentes valeurs.

La vulnérabilité DoS révélée aurait interrompu le processus de mixage. L'attaquant aurait enregistré des Bitcoin pour un mixage sans que ces Bitcoin soient signés (vérifiés) par le coordinateur du mixage, tout en soumettant une transaction réelle et vérifiée au mixage.

Il en résulterait une incohérence entre la valeur totale des entrées effectuées sur le CoinJoin et la valeur des sorties attendues. Par conséquent, le coordinateur créerait involontairement une transaction T valide, la somme de toutes les entrées étant inférieure à la somme de toutes les sorties, selon l'analyse de Vejpustek.

Si l'attaque était réussie, elle déjouerait CoinJoin, même si elle n'aurait pas donné à l'attaquant la possibilité de voler des pièces ni de désanonymiser les pairs du mix.

Wasabi Wallet a corrigé le correctif avec le hard fork déployé jeudi. Cette mise à niveau a été appliquée à la version 1.1.12 du portefeuille, qui a été publiée le 5 août.