Une bataille entre les portefeuilles Bitcoin a de grandes implications pour la confidentialité


Samourai a annoncé jeudi dernier que son principal concurrent, Wasabi Wallet, était la cible d'une attaque réseau en cours.

C'est la dernière d'une série d'allégations que Samourai a formulées contre Wasabi depuis la mi-juillet.

Selon Samourai Wallet, l’attaque ressemble à une attaque Sybil, où un petit nombre d’utilisateurs falsifie de nouvelles identités et prétend être beaucoup plus nombreux. Cela signifierait que l'ensemble d'anonymat, ou la foule, dans lequel un utilisateur peut masquer ses transactions en bitcoins n'est pas aussi important que le suggère Wasabi.

"Comme l’a expliqué l’équipe Wasabi, la technique de mixage Wasabi a pour objectif de cacher vos (résultats de transaction non dépensés) dans une foule" suffisamment "nombreuse (de" pairs "), a écrit Samourai dans son billet de blog. «L’objectif actuel d’Anonymity Set dans le mélange en wasabi est de 100 pairs.»

Cela signifie que si, par exemple, 20 de ces pairs ne sont qu’un seul utilisateur et que l’identité de cet utilisateur est découverte, les niveaux de confidentialité de tous les autres utilisateurs du même pool de mixage sont réduits.

«Avec une confidentialité insuffisante, la foule diminue», a expliqué Max Hillebrand, chercheur indépendant sur les bitcoins, à CoinDesk. "Si vous êtes l'une de ces autres (transactions) qui n'ont pas été anonymisées (par un attaquant), votre jeu d'anonymat n'est plus de 100."

Samourai dit que les preuves d'attaques de Sybil sur le réseau Wasabi remontent à janvier 2019.

Wasabi a publié ses propres déclarations réfutant les affirmations de Samourai, ainsi que de leurs propres allégations contre Samourai.

En conséquence, les utilisateurs de bitcoins soucieux de la vie privée s'interrogent sur l'efficacité réelle de l'un ou l'autre portefeuille en dissimulant l'identité de ses utilisateurs.

Histoire de CoinJoin

En effet, la conception de base de Samourai et de Wasabi a plus en commun que la plupart des gens ne le réalisent.

S'adressant à CoinDesk, le cofondateur de Samourai Wallet, qui porte les initiales SW, a déclaré qu'à un moment donné, Samourai et Wasabi étaient la même application.

Les développeurs principaux, TDevD (Samourai) et nopara73 (Wasabi), ont travaillé ensemble à la mise en œuvre d'une technologie de longue date appelée ZeroLink pour la confidentialité des bitcoins.

«Nous avons juste eu une différence dans le désir de mise en œuvre», a déclaré SW. «Alors nous nous sommes séparés. Nous avons créé le projet et l'avons mis en œuvre comme nous le voulions. ”

La mise en œuvre de ZeroLink (appelée Whirlpool) par Samourai a un mécanisme de tarification différent de celui de Wasabi, bien que ce ne soit pas la seule différence entre les deux applications de portefeuille. En conséquence, SW affirme que Whirlpool rend plus onéreuse pour les acteurs malveillants du système de rompre l'anonymat des autres utilisateurs lors d'une attaque Sybil.

'C'est de la folie'

Adam Ficsor de Wasabi, dit alias nopara73, affirme que la division des coûts ultérieurement est en réalité plus «rentable» et souligne que l’anonymat lié à Whirlpool peut toujours être rompu étant donné que Samourai s’appuie sur un serveur central centralisé. traiter les clés publiques étendues des utilisateurs.

"Putain," écrivait Ficsor le 21 juillet. "Comment pouvez-vous prendre une décision de conception stupide que vous avez prise et agir comme si cela constituerait un avantage significatif par rapport à un autre projet dont les bases ont clairement raison?"

Selon Fiscor, l'envoi des adresses d'utilisateurs à un serveur principal a été soulevé par le créateur de CoinJoin, Gregory Maxwell. Lorsque Maxwell a fait part de ses préoccupations à l'équipe de Samourai, il a déclaré avoir été harcelé et accusé de fausses déclarations.

«Lorsque vous utilisez le portefeuille, vous envoyez à Samourai toutes vos clés publiques sous la forme d'une clé publique étendue (XPUB) qui permet à Samourai d'avoir un accès unique à toutes vos adresses actuelles et futures», a déclaré Aviv Milner, le support technique de la communauté. mener pour la startup derrière Wasabi, zkSNACKs.

La question de la dépendance de Samourai à l’égard d’un serveur backend en est une qui, admet SW, a besoin de la confiance des utilisateurs "que Samourai n’essaye pas de vendre leurs données de clé publique à des tiers".

'Toujours mélanger'

En tant que tels, les experts disent qu'il n'y a pas de gagnant clair entre Wasabi et Samourai.

"(Les deux) sont basés sur des hypothèses différentes", a déclaré Hillebrand, ajoutant:

«On suppose qu'il ne faut pas faire confiance au coordinateur et que tout le monde sait ce que le coordinateur sait. L’autre hypothèse est qu’il existe une confiance inhérente dans les développeurs et qu’il est donc acceptable de faire confiance aux serveurs centraux. Maintenant, (ce que vous choisissez) dépend vraiment du modèle de menace de chaque individu et de chaque cas unique. ”

Selon Hillebrand, bien que les bases des deux implémentations de ZeroLink soient les mêmes, dans les deux implémentations, les utilisateurs sont tenus de prendre en main les questions de confidentialité en s'assurant de respecter les meilleures pratiques du protocole.

En effet, Kevin Loaec, directeur général de Chainsmiths, société de conseil en blockchain, a déclaré que toute implémentation de CoinJoin souffrirait des mêmes vecteurs d’attaque de base.

«La confidentialité sur Bitcoin est extrêmement difficile. Toute erreur de votre part ou de la part d’un autre participant au mixage vous poursuivra à l’avenir, car la blockchain est à la portée de tous», a déclaré Loaec à CoinDesk. "Le type de portefeuille que vous utilisez, les habitudes de consommation (heure de la journée, montants…), les consolidations que vous effectuez … tout peut être exploité pour vous profiler et réduire l'anonymat."

En tant que tel, Loaec, qui utilise à la fois les portefeuilles Wasabi et Samourai, a déclaré que pour les utilisateurs qui décident toujours de quel côté du débat sur le portefeuille de la confidentialité Bitcoin d’atterrir, il n’ya pas une bonne réponse.

Conclu Loaec:

"Utilisez CoinJoin, mais apprenez-le et ne supposez pas que vous êtes privé. Toujours mélanger.

Image via Shutterstock