Ginger Wallet устраняет уязвимость в CoinJoin-протоколе WabiSabi

Разработчики Ginger Wallet, основанного на конфиденциальности и являющегося форком Wasabi Wallet, устранили серьезную уязвимость в CoinJoin-протоколе WabiSabi, способную приводить к деанонимизации пользователей.

---

Описание проблемы

Баг был выявлен программистом, скрывающимся под ником drkgry, и касался следующих версий программного обеспечения:

• Wasabi Wallet 2.2.1.0
• Ginger Wallet 2.0.13
• Плагин BTCPay Server 1.0.101.0
• Ранее выпущенные версии всех перечисленных продуктов

---

Как работает технология CoinJoin?

CoinJoin — это технология, которая позволяет нескольким пользователям объединять свои входы и выходы в одну транзакцию. Такое смешивание криптовалют обеспечивает анонимность участников, делая их труднодиагностируемыми.

Роль WabiSabi в процессе

Протокол WabiSabi управляет этим процессом и обеспечивает возможность клиентам вводить разные суммы в рамках одного раунда. При этом информация о выходах скрывается благодаря использованию анонимных учетных записей.

«Пользователи WabiSabi создают приватные аккаунты с использованием силиконовых параметров ключа и максимальной суммы. Уязвимость позволяла злоумышленнику управлять этими данными, что значительно снижало уровень конфиденциальности».

---

Опасности уязвимости

Эта уязвимость предоставляла злоумышленнику возможность назначать собственные уникальные значения для критичных параметров, что открывало путь к:

• Отслеживанию пользователей в процессе смешивания монет
• Корреляции входов и выходов
• Кластеризации кошельков
• Деанонимизации личных данных

---

Фон и контекст

Стоит отметить, что в мае 2023 года разработчик Wasabi Wallet, компания , объявила о прекращении работы CoinJoin сервиса в соответствии с требованиями законодательства США.