Uma batalha entre carteiras de Bitcoin tem grandes implicações para a Política de Privacidade

A carteira de Política de Privacidade Bitcoin Samourai anunciou na última quinta-feira que seu principal concorrente, Carteira Wasabi, é alvo de um ataque de rede em andamento.

O postagem de blogé a mais recente de uma série de alegações que Samourai fez contra Wasabi desde meados de julho.

O ataque, de acordo com a Samourai Wallet, se assemelha a um ataque Sybil, onde um pequeno número de usuários falsifica novas identidades e finge ser muito maior em número. Isso significaria que o conjunto de anonimato, ou multidão, no qual um usuário pode esconder suas transações de Bitcoin não é realmente tão grande quanto Wasabi sugere.

“Como a equipe Wasabi descreveu, o objetivo da técnica de mistura Wasabi é esconder suas [saídas de transações não gastas] em uma multidão ‘suficientemente’ grande (pares)”, escreveu Samourai em sua postagem de blog. “O atual conjunto de anonimato alvo na mistura Wasabi é de 100 pares.”

Isso significa que se, digamos, 20 desses pares forem, na verdade, apenas um usuário e a identidade desse usuário for descoberta, os níveis de Política de Privacidade para todos os outros usuários no mesmo pool de mistura serão reduzidos.

“Com Política de Privacidade ruim do usuário, a multidão fica menor”, ​​explicou o pesquisador independente de Bitcoin Max Hillebrand ao CoinDesk. “Se você é uma dessas outras [transações] que não foram desanonimizadas [por um invasor], então seu conjunto de anonimato não é mais 100.”

Samourai diz que as evidências dos ataques de Sybil à rede Wasabi datam de janeiro de 2019.

Wasabi emitiu suas próprias declarações refutando as alegações de Samourai, ao mesmo tempo em que emitiu suas próprias alegações contra Samourai.

Como resultado, usuários de Bitcoin preocupados com a privacidade estão questionando a verdadeira eficácia de qualquer uma das carteiras em ocultar as identidades de seus usuários.

Histórico do CoinJoin

De fato, o design CORE do Samourai e do Wasabi tem mais em comum do que a maioria imagina.

Em declarações ao CoinDesk, o cofundador da Samourai Wallet, conhecido pelas iniciais SW, disse que em ONE momento, Samourai e Wasabi eram o mesmo aplicativo.

Os desenvolvedores líderes TDevD (Samourai) e nopara73 (Wasabi) trabalharam juntos na construção de uma implementação de tecnologia de Política de Privacidade de Bitcoin de longa data CoinJoinchamado ZeroLink.

“Nós apenas tivemos uma diferença no desejo de implementação”, disse SW. “Então nos dividimos. Nós bifurcamos o projeto e apenas o implementamos da maneira que queríamos.”

A implementação do ZeroLink da Samourai (chamada Whirlpool) tem um mecanismo de precificação diferente do Wasabi, embora essa não seja a única diferença entre os dois aplicativos de carteira. Como resultado, a SW sustenta que a Whirlpool torna mais caro para atores maliciosos no sistema quebrar o anonimato de outros usuários por meio de um ataque Sybil.

‘Isto é loucura’

Adam Ficsor, da Wasabi, conhecido pelo pseudônimo nopara73, responde que dividir os custos mais tarde no processo é, na verdade, mais "econômico" e ressalta que o anonimato usando o Whirlpool sempre pode ser quebrado, já que o Samourai depende de um servidor centralizado de back-end para processar as chaves públicas estendidas dos usuários.

“Foda-se”, escreveu Ficsorem uma postagem do Mediumem 21 de julho. “Como você pode tomar uma decisão de design idiota que você tomou e agir como se fosse uma vantagem significativa sobre outro projeto que claramente tem seus fundamentos corretos?”

Esta questão do envio de endereços de usuários para um servidor de backend, disse Fiscorem uma segunda postagem do blog, foi levantado pelo criador do CoinJoin, Gregory Maxwell. Quando Maxwell abordou a equipe Samourai com suas preocupações, ele disseno Redditele foi assediado e acusado de fazer falsas alegações.

“Quando você usa a carteira, você envia a Samourai todas as suas chaves públicas na forma de uma chave pública estendida (XPUB) que permite que Samourai tenha acesso exclusivo a todos os seus endereços atuais e futuros”, disse Aviv Milner, líder de suporte técnico da comunidade para a startup por trás do Wasabi, zkSNACKs.

Essa questão da dependência do Samourai em um servidor de backend é ONE que a SW admite que requer a confiança dos usuários "de que o Samourai T está tentando vender seus dados de chave pública a terceiros".

‘Sempre misture’

Por isso, especialistas dizem que não há um vencedor claro entre Wasabi e Samourai.

“[Os dois] são baseados em suposições diferentes”, disse Hillebrand, acrescentando:

“Um assume que o coordenador não é confiável e que todos sabem o que o coordenador sabe. O outro pressuposto é que há uma confiança inerente nos desenvolvedores e, portanto, é OK confiar em servidores centrais. Agora, [o que você escolhe] realmente depende do modelo de ameaça de cada indivíduo e de cada caso único.”

De acordo com Hillebrand, embora os princípios básicos das duas implementações do ZeroLink sejam os mesmos, em ambas as implementações os usuários são obrigados a tomar as rédeas da questão da Política de Privacidade , garantindo que estão cumprindo as melhores práticas do protocolo.

De fato, Kevin Loaec, diretor administrativo da consultoria de blockchain Chainsmiths, disse que qualquer implementação do CoinJoin sofrerá dos mesmos vetores básicos de ataque.

“A Política de Privacidade no Bitcoin é extremamente difícil, qualquer erro seu ou de outros participantes da mistura irá caçá-lo no futuro, pois o blockchain está aqui para todos verem”, disse Loaec ao CoinDesk. “O tipo de carteira que você usa, os hábitos de gastos (hora do dia, quantias...) as consolidações que você faz... tudo pode ser explorado para criar um perfil seu e reduzir o anonimato.”

Por isso, Loaec, que usa as carteiras Wasabi e Samourai, disse que, para os usuários que ainda estão decidindo de que lado do debate sobre a Política de Privacidade da carteira de Bitcoin devem ficar, T há uma resposta certa.

Loaec concluiu:

“Use CoinJoin, mas Aprenda sobre ele e T presuma que você é privado. Misture sempre.”

Imagem via Shutterstock