Una battaglia tra i portafogli Bitcoin ha grandi implicazioni per la Privacy

Il portafoglio Privacy Bitcoin Samourai ha annunciato giovedì scorso che il suo principale concorrente, Portafoglio Wasabi, è l'obiettivo di un attacco di rete in corso.

IL post del blogè l'ultima di una serie di accuse che Samourai ha rivolto a Wasabi da metà luglio.

L'attacco, secondo Samourai Wallet, assomiglia a un attacco Sybil, in cui un piccolo numero di utenti falsifica nuove identità e finge di essere molto più numeroso. Ciò significherebbe che il set di anonimato, o folla, in cui un utente può nascondere le proprie transazioni Bitcoin non è in realtà così grande come suggerisce Wasabi.

"Come descritto dal team Wasabi, l'obiettivo della tecnica di miscelazione Wasabi è nascondere i tuoi [output di transazioni non spese] in una folla 'sufficientemente' numerosa (peer)", ha scritto Samourai nel suo post sul blog. "L'attuale set di Anonymity target nel miscelazione Wasabi è di 100 peer".

Ciò significa che se, ad esempio, 20 di questi peer sono in realtà ONE solo utente e l'identità di questo utente viene scoperta, i livelli Privacy per tutti gli altri utenti nello stesso pool di mixaggio risultano ridotti.

"Con una scarsa Privacy degli utenti, la folla si riduce", ha spiegato a CoinDesk il ricercatore indipendente Bitcoin Max Hillebrand. "Se sei ONE di queste altre [transazioni] che non sono state de-anonimizzate [da un aggressore], il tuo set di anonimato non è più 100".

Samourai afferma che le prove degli attacchi di Sybil alla rete Wasabi risalgono al gennaio 2019.

Wasabi ha rilasciato le proprie dichiarazioni confutando le affermazioni di Samourai, e ha anche lanciato accuse contro Samourai.

Di conseguenza, gli utenti Bitcoin attenti alla privacy stanno mettendo in dubbio la reale efficacia di entrambi i portafogli nel nascondere l'identità dei propri utenti.

Cronologia di CoinJoin

In effetti, il design CORE di Samourai e Wasabi ha in realtà più cose in comune di quanto si possa pensare.

Parlando con CoinDesk, il co-fondatore di Samourai Wallet, le cui iniziali sono SW, ha affermato che ONE tempo Samourai e Wasabi erano la stessa applicazione.

Gli sviluppatori principali TDevD (Samourai) e nopara73 (Wasabi) hanno lavorato insieme per creare un'implementazione della tecnologia Privacy Bitcoin di lunga data CoinUniscitichiamato ZeroLink.

"Avevamo solo una differenza nel desiderio di implementazione", ha detto SW. "Quindi ci siamo divisi. Abbiamo biforcato il progetto e lo abbiamo implementato nel modo in cui volevamo implementarlo".

L'implementazione di ZeroLink di Samourai (chiamata Whirlpool) ha un meccanismo di determinazione dei prezzi diverso da Wasabi, sebbene questa non sia l'unica differenza tra le due applicazioni wallet. Di conseguenza, SW sostiene che Whirlpool rende più costoso per gli attori malintenzionati nel sistema violare l'anonimato di altri utenti tramite un attacco Sybil.

"Questa è follia"

Adam Ficsor di Wasabi, che usa lo pseudonimo nopara73, ribatte che suddividere i costi in una fase successiva del processo è in realtà più “conveniente” e sottolinea che l’anonimato usando Whirlpool può sempre essere violato dato che Samourai si basa su un server backend centralizzato per elaborare le chiavi pubbliche estese degli utenti.

"Vaffanculo", ha scritto Ficsorin un post di Mediumil 21 luglio. "Come puoi prendere una decisione di progettazione stupida che hai preso e comportarti come se fosse un vantaggio significativo rispetto a un altro progetto che ha chiaramente le sue basi giuste?"

Questo problema dell'invio degli indirizzi degli utenti a un server back-end, ha affermato Fiscorin un secondo post del blog, è stata sollevata dal creatore di CoinJoin, Gregory Maxwell. Quando Maxwell ha contattato il team di Samourai con le sue preoccupazioni, ha dettosu Redditè stato molestato e accusato di aver fatto false affermazioni.

"Quando utilizzi il portafoglio, invii a Samourai tutte le tue chiavi pubbliche sotto forma di chiave pubblica estesa (XPUB) che consente a Samourai di avere accesso univoco a tutti i tuoi indirizzi attuali e futuri", ha affermato Aviv Milner, responsabile del supporto tecnico della community per la startup dietro Wasabi, zkSNACKs.

La questione dell'affidamento di Samourai a un server back-end è ONE che SW ammette richieda la fiducia degli utenti "che Samourai T stia cercando di vendere i dati della loro chiave pubblica a terze parti".

"Mescola sempre"

Pertanto, gli esperti affermano che non esiste un chiaro vincitore tra Wasabi e Samourai.

“[I due] si basano su presupposti diversi”, ha detto Hillebrand, aggiungendo:

"ONE presume che non ci si debba fidare del coordinatore e che tutti sappiano cosa sa il coordinatore. L'altro presupposto è che ci sia una fiducia intrinseca negli sviluppatori e quindi va bene fidarsi dei server centrali. Ora, [ciò che si sceglie] dipende davvero dal modello di minaccia di ogni individuo e di ogni caso unico."

Secondo Hillebrand, sebbene i principi di base delle due implementazioni di ZeroLink siano gli stessi, in entrambe le implementazioni gli utenti sono tenuti a prendersi cura personalmente della propria Privacy , assicurandosi di rispettare le best practice del protocollo.

In effetti, Kevin Loaec, amministratore delegato della società di consulenza blockchain Chainsmiths, ha affermato che qualsiasi implementazione di CoinJoin sarà soggetta agli stessi vettori di attacco di base.

"La Privacy su Bitcoin è estremamente difficile, qualsiasi errore da parte tua o di altri partecipanti al mixaggio ti darà la caccia in futuro, poiché la blockchain è qui sotto gli occhi di tutti", ha detto Loaec a CoinDesk. "Il tipo di portafoglio che usi, le abitudini di spesa (ora del giorno, importi...), i consolidamenti che fai... tutto può essere sfruttato per profilarti e ridurre l'anonimato".

Pertanto, Loaec, che utilizza sia i portafogli Wasabi che Samourai, ha affermato che per gli utenti che devono ancora decidere da che parte stare nel dibattito sui portafogli Privacy Bitcoin , T esiste ONE risposta giusta.

Concluse Loaec:

"Usa CoinJoin, ma Imparare e T dare per scontato di essere riservato. Mescola sempre."

Immagine tramite Shutterstock