کاربران کیف پول واسابی (Wasabi) اگر میخواهند از ویژگی CoinJoin استفاده کنند باید کیف پول خود را به آخرین نسخه بهروزرسانی کنند تا سوابق تراکنشهای بیت کوین آنها به طور خصوصی باقی بماند.
این موضوع به دلیل آن است کسانی که از نسخههای قدیمی این کیف پول استفاده میکنند دیگر نمیتوانند از ویژگی مورد نظر برای ترکیب کوینهای خود با نسخه جدید کیف پول استفاده کنند.
تیم توسعهدهنده کیف پول واسابی در روز پنجشنبه هاردفورکی را اجرا کرد تا آسیبپذیری کشفشده توسط یکی از اعضای تیم ترزور را برطرف کند. هاردفورک، یک تغییر کد است که باعث میشود نسخههای قدیمیتر نرمافزار از نسخههای جدیدتر پشتیبانی نکنند.
کشف این نقص، مثال دیگری از همکاری و مشارکت جامعه نرمافزارهای متن باز است. توسعهدهندگان دائما در تلاش هستند تا نرمافزارهای خود را بهبود و ارتقا ببخشند و طی این فرایند، آسیبپذیریهای بسیار زیادی کشف و قبل از سوء استفاده توسط عوامل مخرب، اصلاح میشوند.
بر اساس پست بلاگ کیف پول واسابی، اوندری ویپوستک (Ondrej Vejpustek) یکی از توسعهدهندگان کیف پول سختافزاری ترزور، در تاریخ ۱۰ می حمله DoS را به تیم واسابی اطلاع داده بود.
ریکاردو ماسوتی (Ricardo Masutti) استراتژیست بازاریابی و یکی از اعضای کیف پول واسابی با اشاره به ارائه پاداش به ویپوستک گفت:
ویپوستک از ابتدا با ما همکاری بسیار زیادی داشته است و با زمان و ارتباطی که در اختیار ما قرار داد توانستیم این مشکل را برطرف کنیم. این موضوع، بیانگر اهمیت یک ارتباط مناسب بین محققان حوزه امنیت و تیمهای توسعهدهنده است.
حمله فرضی DoS که کیف پول واسابی معتقد است رخ نداده است باعث ایجاد اختلال در اجرای CoinJoin میشود. CoinJoin یک پروتکل حریم خصوصی است که به کاربران امکان میدهد تا بیت کوینهای خود را با بیت کوین سایر افراد ترکیب کنند تا سابقه تراکنشهای کوینها پنهان بماند.
در اجرای CoinJoin کیف پول واسابی، هر شرکتکننده باید به همان مقداری که کوین ارائه میدهد، برداشت داشته باشد. برای مثال اگر ۱۰ شرکتکننده برای ترکیب ۰.۱ بیت کوین وارد CoinJoin شوند باید دقیقا همان مقدار ارسال کنند و دقیقا همان مقدار دریافت کنند تا ترکیب کوینها با موفقیت انجام شود و از حریم خصوصی CoinJoin محافظت شود. ترکیب کوینها باعث میشود که رصد و پیگیری تراکنشهای بیت کوین دشوارتر شود.
آسیبپذیری گزارش شده میتوانست فرایند ترکیب کوینها را متوقف کند. حملهکننده میتوانست برای ترکیب کوینها، بیت کوینی را ثبت کند که توسط هماهنگکننده امضا و تایید نشده باشد، همزمان تراکنش تاییدشده و واقعی را در ترکیب ثبت کند.
در نتیجه، ناهماهنگی بین مقدار کل ورودیهای CoinJoin و مقدار خروجی مورد انتظار به وجود میآمد. بدین ترتیب، هماهنگکننده سهوا تراکنشی را ایجاد میکرد که نمیتوانست معتبر باشد، زیرا مجموع تمام ورودیها کمتر از مجموع تمام خروجیها بود.
اگر این حمله انجام میشد، میتوانست CojnJoin را از کار بیاندازد، هرچند این اقدام نمیتوانست حملهکننده را قادر به سرقت کوین کند.
کیف پول واسابی این آسیبپذیری را با اجرای هاردفورک در روز پنجشنبه اصلاح کرد. این بهروزرسانی بر روی نسخه ۱.۱.۱۲ این کیف پول اعمال شد.
