Wasabi Wallet lanceert nieuwe update die kwetsbaarheid aanpakt

De welbekende Bitcoin-privacy-wallet Wasabi heeft onlangs een nieuwe upgrade uitgebracht, waardoor de kwetsbaarheid aangepakt is die ontdekt is door een Trezor medewerker. Gebruikers moeten dus hun versie updaten naar de nieuwste versie als ze de CoinJoin-functie willen blijven gebruiken om hun Bitcoin-transactiegeschiedenis privé te houden.

Hoe werkt CoinJoin?

CoinJoin is een privacyprotocol waarmee gebruikers hun Bitcoin met anderen kunnen mixen om de transactiegeschiedenis van de munten te verdoezelen. Het mixen van munten maakt het moeilijker voor nieuwsgierige personen/organisaties om Bitcoin-transacties te volgen en de identiteiten van hun eigenaren te achterhalen.

De CoinJoin-implementatie van Wasabi Wallet vereist dat elke deelnemer evenveel er uit neemt als dat hij/zij erin stopt. Als, bijvoorbeeld, 10 deelnemers deelnemen aan een mix voor 0,1 BTC, dan moet elke gebruiker precies dat bedrag (plus een minervergoeding) sturen en dat exacte bedrag ontvangen om de mix te laten slagen en om de privacybescherming van CoinJoin te behouden.

Gevaar voor DoS-aanval

Volgens een Wasabi Wallet-blogpost heeft Trezor hardware wallet-ontwikkelaar, genaamd Ondřej Vejpustek, op 10 mei op verantwoorde wijze de potentiële denial-of-service (DoS) -aanval aan het Wasabi-team bekendgemaakt. Een DoS-aanval houdt in dat een aanvaller een netwerk of protocol spamt, met als doel om de activiteiten te belemmeren, vandaar de naam “denial of service”.

De onthulde DoS-kwetsbaarheid zou het mengproces hebben gestopt. De aanvaller zou dus in theorie een Bitcoin kunnen registeren voor een mix, zonder dat die Bitcoin wordt ondertekend (geverifieerd) door de coördinator van de mix, terwijl hij tegelijkertijd een echte, geverifieerde transactie indient bij de mix.

Het resultaat zou een incongruentie zijn tussen de totale waarde van de inputs die aan de CoinJoin zijn gedaan en de waarde van de verwachte outputs. Als gevolg hiervan zou de coördinator onbewust “een transactie bouwen die niet geldig kan zijn, aangezien de som van alle inputs minder is dan de som van alle outputs”, aldus de analyse van Vejpustek.

Als de aanval zou worden uitgevoerd, zou dit de CoinJoin verijdelen, hoewel het de aanvaller niet de mogelijkheid zou hebben gegeven om munten te stelen. Tevens zouden de identiteiten van de gebruikers hierdoor ook niet in gevaar zijn. Echter was het toch belangrijk voor Wasabi om dit probleem op te lossen.

Uiteraard was de organisatie erg blij met deze heads-up van Vejpustek en gaf aan dat zij hem een beloning hebben gegeven in BTC. Wasabi Wallet-bijdrager en marketingstrateeg Riccardo Masutti zei verder het volgende tegen CoinDesk:

“Vejpustek is vanaf het begin zeer coöperatief geweest en heeft ons totale vrijheid gegeven over het beheren van de openbaarmaking, zowel in termen van tijd als communicatie. Dit toont het belang aan van goede communicatie tussen beveiligingsonderzoekers en ontwikkelingsteams. Dit is hoe een verantwoorde openbaarmaking zou moeten zijn.”

Wasabi Wallet repareerde de oplossing door middel van een hard fork, die donderdag gelanceerd werd. Deze upgrade is toegepast op versie 1.1.12 van de portemonnee. Vergeet je wallet niet de updaten dus!