Une bataille entre les portefeuilles Bitcoin a de grandes implications pour la Politique de confidentialité

Le portefeuille de Politique de confidentialité Bitcoin Samourai a annoncé jeudi dernier que son principal concurrent, Portefeuille Wasabi, est la cible d'une attaque réseau en cours.

Le article de blogC'est la dernière d'une série d'allégations que Samourai porte contre Wasabi depuis la mi-juillet.

Selon Samourai Wallet, l'attaque ressemble à une attaque Sybil, où un petit nombre d'utilisateurs falsifient de nouvelles identités et se font passer pour beaucoup plus nombreux. Cela signifierait que l'ensemble anonyme, ou foule, dans lequel un utilisateur peut dissimuler ses transactions en Bitcoin n'est pas aussi vaste que le suggère Wasabi.

« Comme l'a décrit l'équipe Wasabi, l'objectif de la technique de mixage Wasabi est de dissimuler vos [transactions non dépensées] auprès d'un nombre suffisamment important de pairs », a écrit Samourai dans son article de blog. « L'objectif actuel d'anonymat défini dans le mixage Wasabi est de 100 pairs. »

Cela signifie que si, par exemple, 20 de ces pairs ne sont en fait qu'un ONE utilisateur et que l'identité de cet utilisateur est découverte, les niveaux de Politique de confidentialité pour tous les autres utilisateurs du même pool de mixage sont réduits.

« Avec une Politique de confidentialité utilisateur défaillante, la communauté se réduit », a expliqué Max Hillebrand, chercheur indépendant sur le Bitcoin, à CoinDesk. « Si vous faites ONE de ces autres [transactions] qui n'ont pas été désanonymisées [par un attaquant], votre niveau d'anonymat n'est plus de 100. »

Samourai affirme que les preuves des attaques Sybil sur le réseau Wasabi remontent à janvier 2019.

Wasabi a publié ses propres déclarations réfutant les affirmations de Samourai, tout en émettant ses propres allégations contre Samourai.

En conséquence, les utilisateurs de Bitcoin soucieux de leur vie privée remettent en question la véritable efficacité de l’un ou l’autre portefeuille pour cacher l’identité de ses utilisateurs.

Historique des CoinJoin

En effet, la conception de CORE de Samourai et de Wasabi a en réalité plus de points communs que la plupart ne le pensent.

S'adressant à CoinDesk, le cofondateur de Samourai Wallet, connu sous les initiales SW, a déclaré qu'à un moment donné, Samourai et Wasabi étaient la même application.

Les développeurs principaux TDevD (Samourai) et nopara73 (Wasabi) ont travaillé ensemble sur la création d'une implémentation d'une technologie de Politique de confidentialité Bitcoin de longue date. CoinJoinappelé ZeroLink.

« Nous avions simplement une divergence d'idées sur la mise en œuvre », explique SW. « Nous nous sommes donc séparés. Nous avons bifurqué le projet et l'avons simplement mis en œuvre comme nous le souhaitions. »

L'implémentation de ZeroLink par Samourai (appelée Whirlpool) utilise un mécanisme de tarification différent de celui de Wasabi, bien que ce ne soit pas la seule différence entre les deux applications de portefeuille. Par conséquent, SW soutient que Whirlpool rend plus coûteux pour les acteurs malveillants du système de briser l'anonymat des autres utilisateurs par une attaque Sybil.

« C'est de la folie »

Adam Ficsor de Wasabi, connu sous le pseudonyme nopara73, rétorque que la répartition des coûts plus tard dans le processus est en fait plus « rentable » et souligne que l'anonymat en utilisant Whirlpool peut toujours être rompu étant donné que Samourai s'appuie sur un serveur back-end centralisé pour traiter les clés publiques étendues des utilisateurs.

« Va te faire foutre », a écrit Ficsordans un article Mediumle 21 juillet. « Comment pouvez-vous prendre une décision de conception stupide que vous avez prise et agir comme si cela constituerait un avantage significatif par rapport à un autre projet qui a clairement ses bases correctes ? »

Ce problème d'envoi d'adresses d'utilisateurs à un serveur backend, a déclaré Fiscordans un deuxième article de blog, a été soulevée par le créateur de CoinJoin, Gregory Maxwell. Lorsque Maxwell a fait part de ses préoccupations à l'équipe de Samourai, il a déclarésur Redditil a été harcelé et accusé de faire de fausses déclarations.

« Lorsque vous utilisez le portefeuille, vous envoyez à Samourai toutes vos clés publiques sous la forme d'une clé publique étendue (XPUB) qui permet à Samourai d'avoir un accès unique à toutes vos adresses actuelles et futures », a déclaré Aviv Milner, responsable du support technique communautaire de la startup derrière Wasabi, zkSNACKs.

Cette question de la dépendance de Samourai à un serveur backend est une ONE qui, selon SW, nécessite la confiance des utilisateurs « que Samourai n'essaie T de vendre leurs données de clé publique à des tiers ».

« Toujours mélanger »

Ainsi, les experts affirment qu’il n’y a pas de gagnant clair entre Wasabi et Samourai.

« [Les deux] reposent sur des hypothèses différentes », a déclaré Hillebrand, ajoutant :

«On suppose qu'il ne faut pas faire confiance au coordinateur et que tout le monde sait ce qu'il sait. L'autre hypothèse est qu'il existe une confiance intrinsèque envers les développeurs et qu'il est donc acceptable de faire confiance aux serveurs centraux. Or, [votre choix] dépend réellement du modèle de menace de chaque individu et de chaque cas particulier. »

Selon Hillebrand, bien que les bases des deux implémentations de ZeroLink soient les mêmes, dans les deux implémentations, les utilisateurs sont tenus de prendre en main les questions de Politique de confidentialité en s'assurant qu'ils respectent les meilleures pratiques du protocole.

En effet, Kevin Loaec, directeur général du cabinet de conseil blockchain Chainsmiths, a déclaré que toute implémentation de CoinJoin souffrirait des mêmes vecteurs d'attaque de base.

«La Politique de confidentialité sur Bitcoin est extrêmement complexe. La moindre erreur de votre part ou de celle des autres participants au mixage vous traquera à l'avenir, car la blockchain est visible de tous », a déclaré Loaec à CoinDesk. « Le type de portefeuille que vous utilisez, vos habitudes de dépenses (heure de la journée, montants…), les consolidations que vous effectuez… tout peut être exploité pour vous profiler et réduire votre anonymat. »

En tant que tel, Loaec, qui utilise à la fois les portefeuilles Wasabi et Samourai, a déclaré que pour les utilisateurs qui décident encore de quel côté du débat sur le portefeuille de Politique de confidentialité Bitcoin se situer, il n'y a T une ONE bonne réponse.

Loaec a conclu :

« Utilisez CoinJoin, mais Guides -vous et ne présumez T que vous êtes confidentiel. Mixez toujours. »

Image via Shutterstock