Разработчики ориентированного на анонимность биткоин-кошелька samourai в прошлый четверг заявили, что их главный конкурент, Wasabi Wallet, был атакован. Сообщение в блоге Samourai стало последним из нескольких обвинений, которые разработчики выдвинули против Wasabi с середине июля.
Атака, по словам Samourai, напоминает атаку Сивиллы, где небольшое количество пользователей фальсифицирует новые идентичности и выдают себя за гораздо большее число пользователей, с которыми другие пользователи могут смешивать свои биткоины. В своём блоге разработчики Samourai пишут:
Как утверждает команда Wasabi, цель их метода микширования состоит в том, чтобы скрыть ваши средства в “достаточно большой толпе (пиров)”. Их текущая цель — анонимность, которую обеспечивает один сет микширования из 100 пиров.
Это означает, что если, скажем, 20 из этих пиров фактически являются одним пользователем, и личность этого пользователя не раскрыта, уровень конфиденциальности для всех других пользователей в таком сете уменьшается.
Команда Wasabi выступила со своими собственными заявлениям, опровергающими доводы разработчиков Samourai, а также выдвинули собственные обвинения против них.
В результате пользователи этих биткоин-кошельков усомнились в их заявленной эффективности по скрытию личности.
Стоит отметить, что история разработки Samourai и Wasabi имеет много общего. В разговоре с CoinDesk соучредитель Samourai Wallet, который известен просто как SW, сказал, что в свое время Samourai и Wasabi были одним проектом. По его словам, ведущие разработчики, TDevD (Samourai) и nopara73 (Wasabi), совместно работали над одной из реализаций давно существующей технологии CoinJoin под названием ZeroLink, которая нацелена на повышение анонимности биткоина. SW сказал:
У нас просто были разнные взгляды на реализацию технологии. Так мы разделились.
Реализация ZeroLink (под названием Whirlpool) от Samourai имеет несколько ключевых отличий от Wasabi, которые, по словам SW, делают проведение злоумышленником атаки Сивиллы более дорогостоящим.
В свою очередь Адам Фиксор из Wasabi, известный под ником nopara73, указывает на то, что анонимность в реализации Whirlpool всегда может быть нарушена, поскольку Samourai полагается на централизованный сервер, который обрабатывает открытые ключи пользователей.
Ещё почти год назад проблема отправки адресов пользователей на сервера Samourai была поднята самим создателем CoinJoin Грегори Максвеллом. В своём посте на Reddit он написал, что увидел «нечестное и крайне некомпетентного поведение Samourai», отметив, что кошелёк имеет «очень плохую приватность, но при этом хвастается хорошей приватностью».
Пользователям, которым нужен максимальный уровень конфиденциальности, Максвелл рекомендовал запустить полную ноду (и использовать либо кошелек bitcoin core, либо запустить свой собственный сервер Electrum), желательно через Tor. Он добавил, что хотя разработчики Samourai хотят в конечном итоге иметь хорошую конфиденциальность, «но кажется, что они просто не могут перестать лгать даже после того, как их поймали».
«Когда вы используете кошелёк, вы отправляете Samourai все свои открытые ключи в виде открытого ключа (XPUB), чтобы предоставить Samourai уникальный доступ ко всем вашим текущим и будущим адресам», — сказал Авив Милнер из стартапа zkSNACKs, который занимается разработкой Wasabi.
По признанию SW, эта проблема передачи ключей на сервер действительно требует доверия пользователей, но Samourai «не пытается продавать данные открытых ключей третьим сторонам».
Эксперты говорят, что между Wasabi и Samourai нет явного победителя. Независимый исследователь биткоина Макс Хиллебранд в комментарии для Coindesk сказал:
«Эти два кошелька основаны на разных предположениях. Предполагается, что координатору нельзя доверять, и что все знают то, что знает координатор. Другое предположение заключается в том, что можно доверять центральным серверам. Ваш выбор зависит на модели угроз каждого человека и каждого уникального случая».
Кевин Лоэк, управляющий директор блокчейн-стартапа Chainmiths, сказал, что любая реализация CoinJoin будет страдать от тех же основных векторов атак:
«Конфиденциальность в отношении биткоина чрезвычайно сложна — любая ваша ошибка или ошибки других участников микширования может помочь выследить вас, поскольку блокчейн открыт для всех. Тип используемого вами кошелька, привычки (время суток, суммы и т.д.), которые вы делаете… всё может быть использовано для моделирования вашего профиля и снижения уровня анонимности».
Лоэк, который использовал и Wasabi, и Samourai, заключил, что для пользователей, которые решают, какому биткоин-кошельку отдать предпочтение, нет единственного правильного ответа.