کشف آسیب پذیری در کیف پول واسابی (Wasabi)؛ کیف پول خود را به‌روزرسانی کنید

کاربران کیف پول واسابی (Wasabi) اگر می‌خواهند از ویژگی CoinJoin استفاده کنند باید کیف پول خود را به آخرین نسخه به‌روزرسانی کنند تا سوابق تراکنش‌های بیت کوین آنها به طور خصوصی باقی بماند.

این موضوع به دلیل آن است کسانی که از نسخه‌های قدیمی این کیف پول استفاده می‌کنند دیگر نمی‌توانند از ویژگی مورد نظر برای ترکیب کوین‌های خود با نسخه‌ جدید کیف پول استفاده کنند.

تیم توسعه‌دهنده کیف پول واسابی در روز پنج‌شنبه هاردفورکی را اجرا کرد تا آسیب‌پذیری کشف‌شده توسط یکی از اعضای تیم ترزور را برطرف کند. هاردفورک، یک تغییر کد است که باعث می‌شود نسخه‌های قدیمی‌تر نرم‌افزار از نسخه‌های جدیدتر پشتیبانی نکنند.

کشف این نقص، مثال دیگری از همکاری و مشارکت جامعه نرم‌افزار‌های متن باز است. توسعه‌دهندگان دائما در تلاش هستند تا نرم‌افزار‌های خود را بهبود و ارتقا ببخشند و طی این فرایند، آسیب‌پذیری‌های بسیار زیادی کشف و قبل از سوء استفاده توسط عوامل مخرب، اصلاح می‌شوند.

بر اساس پست بلاگ کیف پول واسابی، اوندری ویپوستک (Ondrej Vejpustek) یکی از توسعه‌دهندگان کیف پول سخت‌افزاری ترزور، در تاریخ ۱۰ می حمله DoS را به تیم واسابی اطلاع داده بود.

ریکاردو ماسوتی (Ricardo Masutti) استراتژیست بازاریابی و یکی از اعضای کیف پول واسابی با اشاره به ارائه پاداش به ویپوستک گفت:

ویپوستک از ابتدا با ما همکاری بسیار زیادی داشته است و با زمان و ارتباطی که در اختیار ما قرار داد توانستیم این مشکل را برطرف کنیم. این موضوع، بیانگر اهمیت یک ارتباط مناسب بین محققان حوزه امنیت و تیم‌های توسعه‌دهنده است.

حمله فرضی DoS که کیف پول واسابی معتقد است رخ نداده است باعث ایجاد اختلال در اجرای CoinJoin می‌شود. CoinJoin یک پروتکل حریم خصوصی است که به کاربران امکان می‌دهد تا بیت کوین‌های خود را با بیت کوین سایر افراد ترکیب کنند تا سابقه تراکنش‌های کوین‌ها پنهان بماند.

در اجرای CoinJoin کیف پول واسابی، هر شرکت‌کننده باید به همان مقداری که کوین ارائه می‌دهد، برداشت داشته باشد. برای مثال اگر ۱۰ شرکت‌کننده برای ترکیب ۰.۱ بیت کوین وارد CoinJoin شوند باید دقیقا همان مقدار ارسال کنند و دقیقا همان مقدار دریافت کنند تا ترکیب کوین‌ها با موفقیت انجام شود و از حریم خصوصی CoinJoin محافظت شود. ترکیب کوین‌ها باعث می‌شود که رصد و پیگیری تراکنش‌های بیت کوین دشوارتر شود.

آسیب‌پذیری گزارش شده می‌توانست فرایند ترکیب کوین‌ها را متوقف کند. حمله‌کننده می‌توانست برای ترکیب کوین‌ها، بیت کوینی را ثبت کند که توسط هماهنگ‌کننده امضا و تایید نشده باشد، همزمان تراکنش تاییدشده و واقعی را در ترکیب ثبت کند.

در نتیجه، ناهماهنگی بین مقدار کل ورودی‌های CoinJoin و مقدار خروجی مورد انتظار به وجود می‌آمد. بدین ترتیب، هماهنگ‌کننده سهوا تراکنشی را ایجاد می‌کرد که نمی‌توانست معتبر باشد، زیرا مجموع تمام ورودی‌ها کمتر از مجموع تمام خروجی‌ها بود.

اگر این حمله انجام میشد، می‌توانست CojnJoin را از کار بیاندازد، هرچند این اقدام نمی‌توانست حمله‌کننده را قادر به سرقت کوین کند.

کیف پول واسابی این آسیب‌پذیری را با اجرای هاردفورک در روز پنج‌شنبه اصلاح کرد. این به‌روزرسانی بر روی نسخه ۱.۱.۱۲ این کیف پول اعمال شد.