优惠论坛

标题: 瓦比萨比去匿名化漏洞“披露”(转) [打印本页]
作者: 22301    时间: 2024-12-10 12:36
标题: 瓦比萨比去匿名化漏洞“披露”(转)
GingerWallet是Wasabi coinjoin协调员关闭后由zkSNACK前员工维护的WasabiWallet的分支,已收到开发人员drkgry的漏洞报告。此漏洞将允许在一轮共加入中对用户输入和输出进行完全去匿名化,使恶意协调器能够通过执行主动攻击完全撤销共加入带来的任何隐私收益。+ {3 `1 X# {# H7 r! H, [
Wasabi 2.0是对Wasabi如何协调硬币的完整重新设计,从使用固定面额混合金额的Zerolink框架转向允许动态多面额金额的Wabisabi协议。这个过程涉及从同质盲令牌切换到注册输出以取回您的硬币,再到一个名为密钥验证匿名凭据(KVAC)的动态凭据系统。这将允许用户注册盲量,防止其他用户的硬币被盗,而不会向服务器透露可能相关的纯文本金额,并防止链接单独输入的所有权。
3 V- G! B5 S& ?% ]% n# F; a+ H当用户开始参与一轮时,他们会轮询协调服务器以获取有关该轮的信息。这将返回RoundCreated参数中的一个值,称为maxAmountCredentialValue。这是服务器将颁发的最高值凭据。每次凭证发放都可以根据此处设置的值进行识别。
) f% ]! m3 r  T  b* L6 Y1 J为了节省带宽,客户端交叉验证此信息的多种方法从未实现。这允许恶意协调器在每个用户开始注册其输入时为其提供唯一的maxAmountCredentialValue。在随后发送给协调器的消息中,包括输出注册,协调器可以根据此值识别它正在与哪个用户通信。
' u* i: S% x* _8 S" E0 q6 f2 d通过以这种方式为每个用户“标记”一个唯一的标识符,恶意协调器可以看到哪些输出由哪些用户拥有,从而抵消了他们从联合中获得的所有隐私利益。7 m/ }! O$ r% O5 Y5 ?8 V
据我所知,drkgry独立发现了这一点,并本着诚信的原则进行了披露,但在Wabisabi设计阶段出席zkSNACKs的团队成员绝对知道这个问题。
, z" }; \8 G& |& w7 s3 K“轮哈希的第二个目的是保护客户端免受服务器的标记攻击,所有凭据的凭据颁发者参数必须相同,其他轮元数据对所有客户端都应该相同(例如,以确保服务器不会试图影响客户端在注册中产生一些可检测的偏见)。”% ?# r/ `$ U0 w, Z1 K
2021年,Yuval Kogman(又名nothing much)提出了这个问题。Yuval是设计Wabisabi协议的开发者,也是与István András Seres实际指定完整协议的设计者之一。. ^- T/ ^, u7 q# a. A' q* P
最后一点需要注意的是,如果没有Yuval的建议以及他在讨论标记攻击的原始pull请求中提出的与实际UTXO绑定的完整所有权证明,标记漏洞实际上并没有得到解决。发送给客户端的所有数据都没有绑定到特定的轮ID,因此恶意协调器仍然能够通过为用户提供唯一的轮ID并简单地复制必要的数据,并在发送任何消息之前为每个用户重新分配每个唯一的轮标识,从而发起类似的攻击。
3 c; _/ C- w. S4 S) @, S' ^这并不是团队其他成员在实施阶段偷工减料造成的Wasabi 2.0当前实施中存在的唯一突出漏洞。
! _$ j1 a, [* J7 H& AWABISABIWASABI 2.03 e/ M2 p0 i2 e4 u- k& {& C% m
( W8 a2 E5 d; ]$ |; H  g) ?
作者: 22301    时间: 2024-12-10 12:36
这个倒也是可以去了解下看看啦。
作者: 赚钱小样    时间: 2024-12-10 14:16
这个漏洞的话也是要及时发现啊。
作者: linxiaoshan888    时间: 2024-12-10 15:15
这个方法实在是自己好好使用,也是很好的。
作者: 朱古力    时间: 2024-12-10 15:15
如此的建议我也是要来瞧瞧看,学习点东西了
作者: wuzhaoshichao    时间: 2024-12-10 15:24
有盈利的时候就该离开,全部方法长玩就是回不了头
作者: 知行合一    时间: 2024-12-10 15:24
给建议什么的都是大佬,我只是来凑热闹一下而已
作者: gkfbuw    时间: 2024-12-10 15:26
建议什么的与我没有一毛钱关系,全部毫无兴趣了
作者: 老衲来了    时间: 2024-12-10 15:39
建议还是需要凡事有度的给,要不然是欲速不达
作者: 护国石柱    时间: 2024-12-10 15:40
建议不要一下子全采纳,这只会显得很蠢
作者: drogan    时间: 2024-12-10 15:45
这一次方法可以赢钱一天的生活费我也满足了。
作者: anzizhong    时间: 2024-12-10 15:47
这一个这次方法也还是很好的盈利来的啊
作者: jslinen    时间: 2024-12-10 15:48
这一个这次方法在论坛的运气还是值得肯定的.
作者: wodezhuanyong    时间: 2024-12-10 15:51
其实每个方法的吧~这个也是收藏关注一下了
作者: 我的花园    时间: 2024-12-10 15:52
建议的还是瞧人的,不一定一切都好
作者: 丁小荷    时间: 2024-12-10 15:52
建议需要理智的人,否则的话干脆不给更好。
作者: stareshiny    时间: 2024-12-10 15:56
每个方法也是值得去看看关注下的啦。
作者: 越前龙马    时间: 2024-12-10 16:03
看到这个方法我认为也是必要关心起来了的哦。
作者: 万家灯火    时间: 2024-12-10 16:04
方法最后一段话觉得是有感觉的,但是在我面前就难以实现,毕竟好运太差了。
作者: 小夏Sherry    时间: 2024-12-10 16:05
给建议还是需要心平静和的人啊,我也是来学学了
作者: lvaeyou    时间: 2024-12-10 16:09
这样的建议我都是根本兴致缺缺了,做其他东西更好
作者: 大吉大利    时间: 2024-12-10 16:13
使用这个方法有盈利就是最容易的结果了呀。
作者: rainwang    时间: 2024-12-10 16:45
只要不网络上,漏洞肯定是永远存在的
作者: 爱美的女人    时间: 2024-12-10 18:41
可以在看到分享的也是有好多! z* A0 f  u: E: |( O' ?
作者: 如梦的生活    时间: 2024-12-12 18:57
好的办法也是要看一下的了
作者: 舞出精彩    时间: 2024-12-13 10:59
分配的这些还是可以在看到啊
作者: 德罗星    时间: 2024-12-16 15:37
大家都是在关注獭的啊。



欢迎光临 优惠论坛 (https://www.tcelue.com/) Powered by Discuz! X3.1