-
Samourai detectó dos vulnerabilidades en Wasabi Wallet, asociadas al servicio de mezclado CoinJoin.
-
Recomiendan a usuarios de Wasabi no usar las funciones de CoinJoin en la cartera.
OXT Research, perteneciente a Samourai Wallet, publicó este miércoles en su blog en Medium que había descubierto “dos potenciales vulnerabilidades de privacidad en Wasabi Wallet”. Las vulnerabilidades se relacionan con algunas funciones de CoinJoin, un método usado por monederos de Bitcoin para aumentar la privacidad de los pagos.
Entre las razones por las cuales OTX Research califica las vulnerabilidades como críticas, se señala la cancelación de los beneficios del proceso de mezclado cuando una salida previamente mezclada es remezclada.
Estas vulnerabilidades van contra uno de los principios fundamentales de la mezcla, pues cada remezcla efectivamente cancela las ganancias de privacidad de la mezcla previa. Estas vulnerabilidades han estado presentes en Wasabi Wallet desde hace bastante tiempo, por lo que es probable que alguien con menos ética las haya descubierto y las esté explotando.
OXT Research.
Mezcla revertida
Los métodos de mezcla de criptomonedas, concebidos para aumentar la privacidad de las transacciones, no son del agrado de las autoridades europeas. Tal como informó CriptoNoticias, en junio pasado, se filtró un informe del Centro Europeo de Cibercrimen (EC3) de la Europol, en el cual se estudió un conjunto de transacciones realizadas con Wasabi, con participación de la empresa Chainalysis.
El informe pudo establecer que se había depositado casi USD 50 millones en Wasabi Wallet, de los cuales un 30% provenía de los mercados de la web oscura. Si bien funcionarios de la Europol reconocieron la dificultad para «desmezclar» las transacciones de Wasabi, admitieron que un uso poco cuidadoso de este monedero, podría permitir la reversión de la mezcla y conducir a la identificación de las transacciones. Esta, dicen los investigadores de OXT, puede ser la vulnerabilidad encontrada por ellos, y la Interpol quienes probablemente la esté explotando.
Notificaciones y desacuerdos
Normalmente, al descubrirse una vulnerabilidad de este tipo, se notifica a la empresa afectada primero, y luego esta notifica a sus clientes y al público sobre las recomendaciones para mitigar las fallas. OXT Research afirma que notificó a zkSNACKs, la empresa tras Wasabi Wallet, sobre las vulnerabilidades y estos rechazaron discutir los detalles de las mismas.
En consecuencia, OXT anunció que, tras una espera de 48 horas, anunciará los detalles técnicos de dichas vulnerabilidades. Es decir, se espera que este viernes se conozcan más a fondo los supuestos puntos débiles de CoinJoin.
Después de enviar comunicaciones al fundador de zkSNACKs, Adam Fiscor; a su CTO, Dávid Molnár; y a un tercero independiente, dice OXT Research, recibieron una respuesta afirmativa de Molnár para iniciar las discusiones. Pero posteriormente se interrumpieron las comunicaciones entre las dos compañias:
A las 2:58 p.m. [del pasado miércoles 19 de agosto] recibimos una respuesta de Adam Fiscor que señalaba que ellos creían que estábamos chantajeándolos y que ellos no tenían interés en continuar en comunicación con nosotros. Desafortunadamente las comunicaciones se han roto, y no hay más aclaratorias de parte del equipo de zkSNACKs.
OXT Research.
OXT Research recomienda a los usuarios de Wasabi Wallet que «consideren seriamente interrumpir el uso de la función CoinJoin dentro de la cartera de Bitcoin Wasabi», al menos hasta solucionada la vulnerabilidad.
También se dirige en tono conciliador a zkSNACKs
Por favor, reconsideren su respuesta. Ahora que el público sabe que se descubrieron vulnerabilidades, no es tarde para que cambien de opinión y reanuden el diálogo. Estamos dispuestos a acoger el plazo de confidencialidad de 15 días si desean investigar y mitigar las vulnerabilidades reportadas durante ese tiempo.
OXT Research.
Ya ha habido antecedentes de enfrentamientos entre Wasabi y Samourai. En julio de 2019, Samourai abrió fuego contra Wasabi en un mensaje de Telegram, en el que afirmaba que Wasabi estaba «des-anonimizado» y que todas sus transacciones podían ser trazables con un poco de esfuerzo. Wasabi respondió con un artículo en su blog de Medium en el que contradecía las afirmaciones de Samourai.
Los responsables de Wasabi Wallet ya ofrecen una alternativa a CoinJoin. El pasado 11 de agosto, tal como lo informó CriptoNoticias, Wasabi anunció la nueva actualización de ese monedero, la cual incluye la implementación de PayJoin, un método de mezcla que se añade a la oferta de CoinJoin vigente.
