金色财经比特币8月7日讯比特币隐私钱包Samourai质疑其竞争对手的安全性,他们在上周四宣称WasabiWallet正在成为持续网络攻击的目标。事实上,这已经不是Samourai第一次对WasabiWallet提出“指控”了。
根据SamouraiWallet的说法,WasabiWallet被攻击的方式类似于Sybil攻击,即利用社交网络中的少数节点控制多个虚假身份,从而利用这些身份控制或影响网络的大量正常节点,这意味着Wasabi的匿名集合/集群规模可能并没有他们自诩的那个大。简单地说,就是Wasabi声称其用户的比特币交易都是匿名的,但SamouraiWallet认为并非如此。
SamouraiWallet在其博客文章中写道:
“正如Wasabi团队所描述的那样,其混合技术的目标是为了把你的未花费交易输出隐藏在足够大的群体之中,当前Wasabi的匿名集合中大约会有100个peers。”
MetaMask宣布与EIP-4361兼容以支持以太坊登录,并推出“域名绑定”功能:金色财经报道,Web3钱包MetaMask在推特上表示:“MetaMask现在与EIP-4361兼容,使用以太坊登录。我们的部署还提供了‘域名绑定’功能,可以检测来自恶意URL的签名/批准。”[2023/3/24 13:23:20]
这里的问题在于,如果这100个peers中有20个其实是同一个用户,而且Wasabi也没有发现这个用户的身份,那么就意味着他们的隐私混合池中的所有其他用户的隐私级别会被降低。
马克斯·希勒布兰德是一位独立比特币研究员,他解释说:
“随着用户隐私级别越来越差,匿名集群的规模也会变得越来越小。如果你的交易恰好就是那么去匿名的,那么黑客就会很容易实施攻击,而且此时你所处的匿名集群规模也不再是100了。”
ENS:2022年注册了超过220万个ENS名称:金色财经报道,ENS在推文中表示,2022年对ENS来说是不可思议的一年,2022年注册了超过220万个ENS名称(占创建的所有名称的80%)。[2023/1/2 22:20:09]
Samourai还透露,对Wasabi网络实施的女巫攻击最早可以追溯到2019年1月。
很快,WasabiWallet就做出了反应,他们发表声明驳斥了Samourai的说法,同时也发布了对Samourai的“指控”。这么一来,对于隐私意识极强的比特币用户来说,WasabiWallet和SamouraiWallet似乎都有问题,而且对这两个钱包在隐藏用户身份方面的真实功效方面也产生了较大质疑。
CoinJoin的历史
实际上,或许很多人不知道Samourai和Wasabi的核心设计在很多地方都有共同之处。SaminraiWallet联合创始人此前甚至表示过,在某个时间点上,Samourai和Wasabi可以算是同一个应用程序。
安全团队:某MEV机器人被利用,损失约187.75WETH:10月14日消息,BlockSec监测显示,MEV机器人(0x00000.....be0d72)被利用,损失约为187.75WETH。其中攻击者用Flashloan借了1WETH并发送给机器人,随后机器人将WETH换成USDC并发送到攻击者的合约,攻击者将USDC换成WETH并提现。[2022/10/14 14:27:39]
Samourai的核心开发人员是TDevD,Wasabi的核心开发人员是nopara73,他们此前曾共同致力于构建一个名为“ZeroLink”的CoinJoin长期比特币隐私技术实现。SamouraiWallet澄清说:
“我们只是在实施愿景上有所不同,所以我们分手了,而且还分叉了项目,并按照各自的想法和想要的方式继续实现它。”
共26枚DigiDaigaku以369.52 ETH在Gem平台被匿名卖家购入:8月30日消息,据 Etherscan 数据显示,匿名买家(地址为 0x4dbe965abcb9ebc4c6e9d95aeb631e5b58e70d5b)通过 Gem 以 369.52 ETH(约合 56 万美元)购买了 26 枚 DigiDaigaku 系列 NFT。另据 OpenSea 数据,截至发文时该项目地板价暂报 16.8 ETH。[2022/8/30 12:56:18]
之后,SamouraiWallet实施了ZeroLink,其定价机制与Wasabi有很大不同——尽管这不是两个钱包应用程序之间的唯一区别。不过,SaminraiWallet坚持认为Whirlpool的安全性更高,因为它使系统中的恶意行为者通过女巫攻击打破用户匿名性的成本变得更高。
“这太疯狂了”
化名nopara73的Wasabi核心开发人员名叫亚当·费索尔,他反驳说Wasabi的后期分摊成本实际上更具“成本效益”,同时他也指出Whirlpool的匿名性其实也可以被轻松破解,因为SaminraiWallet依赖于中心化后端服务器来处理用户的扩展公钥。
亚当·费索尔还专门在Medium上写了一篇分析文章:
“你怎么能做出这么愚蠢的设计决定,而且还自以为比其他有明显基础知识的项目更具优势?”
亚当·费索尔透露,将用户地址发送到中心化后端服务器的问题是由CoinJoin创建者格雷戈里·麦克斯韦提出的。格雷戈里·麦克斯韦声称自己不想接触SamouraiWallet团队,因为他在Reddit论坛上已经受到了他们的骚扰,而且还被SamouraiWallet团队指责发布虚假声明。
阿维夫·米尔纳是Wasabi背后初创公司zkSNACKs社区技术支持负责人,他表示:
“当您使用钱包时,会以扩展公钥的形式向SamouraiWallet发送所有公钥,Samourai此时就可以访问您当前和未来的所有地址。”
SamouraiWallet依赖后端服务器的问题的确存在,他们也承认这么做的确需要用户的信任,但他们并不会把用户的公钥数据出售给第三方。
没有赢家
业内专家认为,Wasabi和Samourai在这场“开撕大战”中都不是真正的赢家。
独立比特币研究员马克斯·希勒布兰德补充称:
“Wasabi和Samourai都是基于不同的假设,人们假设协调员不可信任,并且每个人都知道协调员知道什么。另一个假设是开发人员存在固有的信任,因此可以信任中央服务器。所以现在,用户要选择哪一个隐私比特币钱包其实真的取决于每个人和每个独特案例对安全威胁的认识。”
按照马克斯·希勒布兰德的说法,虽然两个ZeroLink实现的基础是相同的,但在两种实现中,用户都需要确保遵守协议的最佳实践来将隐私权掌握在自己手中。
另一方面,区块链咨询公司Chainsmiths常务董事凯文·洛亚克则认为Wasabi和Samourai都会受到相同的基本攻击媒介影响,因为他们都实施了CoinJohn。凯文·洛亚克最后总结说:
“比特币交易隐私不是件容易的事情,你的错误、或是其他混合参与者的错误都能在未来被追溯到,因为区块链就公开在这里,所有人都看得到。比如,你使用的钱包类型、消费习惯,所有这一切都让你变得不那么匿名了。”
本文编译自Coindesk
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。