Wasabiウォレットのプライバシーに黄信号?
ビットコインの匿名性を高める技術として知られる「CoinJoin」。そのCoinJoin機能を提供するWasabiウォレットに、ユーザーのプライバシーを脅かす脆弱性が発見され、話題となっています。
脆弱性の内容とは?
今回発見された脆弱性は、Wasabiウォレットで使用されているWabisabiプロトコルに存在します。悪意のある攻撃者が、CoinJoinのコーディネートサーバーを介して、ユーザーの取引履歴を追跡できる可能性があるとのことです。つまり、ビットコインの送受信者を特定できてしまうかもしれないのです。
開発者からの報告
この脆弱性は、開発者のdrkgry氏によって報告されました。drkgry氏によると、問題はWabisabiプロトコルがユーザーごとに一意の「maxAmountCredentialValue」を割り当てることが可能な設計になっている点に起因するとのことです。これにより、攻撃者はユーザーの入出金を特定し、追跡することが可能になってしまいます。
さらに、この脆弱性は2021年にWabisabiプロトコルの設計者の1人であるYuval Kogman氏によって既に指摘されていたとのこと。しかし、対策は完全には実装されず、脆弱性は放置されたままになっていました。
今後の対策は?
もしこの脆弱性が悪用されれば、WasabiウォレットのCoinJoin機能によるプライバシー保護の効果は完全に失われてしまいます。開発チームは早急な対策が求められます。
Expert weighs in on Wasabi’s response to wallet security issues
There are purported vulnerabilities in Wasabi's software
cointelegraph.com
