ওয়াবিসাবি ডিন অজ্ঞাতনামা দুর্বলতা "প্রকাশ"

ওয়াসাবি কয়েনজয়েন সমন্বয়কারী বন্ধ করার পরে প্রাক্তন জেডকেএসএনএএসসিএস কর্মচারীদের দ্বারা পরিচালিত ওয়াসাবিওয়ালেট অফ ফর্ক অফ জিংগারওয়ালেট বিকাশকারী ডিআরকেগ্রির কাছ থেকে একটি দুর্বলতার প্রতিবেদন পেয়েছেন। এই দুর্বলতাটি একটি কয়েনজাইন রাউন্ডে ব্যবহারকারীদের ইনপুট এবং আউটপুটগুলির মোট ডিন অজ্ঞাতনাকে মঞ্জুরি দেয়, একটি দূষিত সমন্বয়কারীকে একটি সক্রিয় আক্রমণ সম্পাদন করে কয়েনজাইং থেকে কোনও গোপনীয়তা লাভকে পুরোপুরি পূর্বাবস্থায় ফিরিয়ে আনার ক্ষমতা দেয়।

ওয়াসাবি ২.০ হ'ল ওয়াসাবী কীভাবে সমন্বিত কয়েনজয়াইনসকে সমন্বিত করে, জেরোলিংক ফ্রেমওয়ার্ক থেকে স্থির ডিনোমিনেশন মিশ্রণের পরিমাণ ব্যবহার করে, ওয়াবিসাবি প্রোটোকলে গতিশীল মাল্টি-ডেনোমিনেশন পরিমাণের অনুমতি দেয়। এই প্রক্রিয়াটি আপনার কয়েনগুলি ফেরত দাবি করার জন্য আউটপুটগুলি নিবন্ধ করার জন্য হোমোজেনাস ব্লাইন্ড টোকেনগুলি থেকে স্যুইচিংয়ের সাথে জড়িত, কীড যাচাইকরণ বেনাম শংসাপত্র (কেভিএসিএস) নামে পরিচিত একটি গতিশীল শংসাপত্র সিস্টেমে। এটি ব্যবহারকারীদের অন্ধ পরিমাণগুলি নিবন্ধন করতে দেয় যা অন্য ব্যবহারকারীর মুদ্রা চুরি করতে বাধা দেয় সার্ভার প্লেইন-টেক্সট পরিমাণগুলি প্রকাশ না করেই সম্পর্কযুক্ত হতে পারে এবং পৃথক ইনপুটগুলির মালিকানা সংযোগ স্থাপন প্রতিরোধ করতে পারে।

ব্যবহারকারীরা যখন কোনও রাউন্ডে অংশ নেওয়া শুরু করেন, তারা রাউন্ড সম্পর্কিত তথ্যের জন্য সমন্বয়কারী সার্ভারকে পোল করে। এটি রাউন্ডক্রিটেড প্যারামিটারগুলিতে একটি মান প্রদান করে, যাকে ম্যাক্সামাউন্টক্রিডেনশিয়ালভ্যালু বলা হয়। এটি সার্ভার যে সর্বোচ্চ মানের শংসাপত্র জারি করবে। প্রতিটি শংসাপত্র জারি এখানে সেট মান নির্ধারণের ভিত্তিতে সনাক্তযোগ্য।

ব্যান্ডউইথকে বাঁচাতে, ক্লায়েন্টদের এই তথ্যটি ক্রস-যাচাই করার জন্য একাধিক প্রস্তাবিত পদ্ধতি কখনই প্রয়োগ করা হয়নি। এটি প্রতিটি ব্যবহারকারী যখন তাদের ইনপুটগুলি একটি অনন্য ম্যাক্সামাউন্টসিডেনশিয়ালভ্যালু নিবন্ধন শুরু করে তখন একটি দূষিত সমন্বয়কারীকে দিতে দেয়। আউটপুট নিবন্ধকরণ সহ সমন্বয়কের কাছে পরবর্তী বার্তাগুলিতে, সমন্বয়কারী এই মানের ভিত্তিতে কোন ব্যবহারকারীকে যোগাযোগ করছে তা সনাক্ত করতে পারে।

এইভাবে প্রতিটি ব্যবহারকারীকে একটি অনন্য শনাক্তকারী সহ "ট্যাগিং" করে, একজন দূষিত সমন্বয়কারী দেখতে পারেন যে কোন আউটপুটগুলির মালিকানাধীন কোন ব্যবহারকারীদের মালিকানাধীন, সমস্ত গোপনীয়তার সুবিধাগুলি তারা কয়েনজাইং থেকে অর্জন করতে পারে তা উপেক্ষা করে।

আমার জ্ঞানের জন্য ড্রকগ্রি এটি স্বাধীনভাবে আবিষ্কার করেছিলেন এবং এটি ভাল বিশ্বাসে প্রকাশ করেছিলেন, তবে ওয়াবিসাবির নকশা পর্বের সময় জেক্সস্যাকসে উপস্থিত দলের সদস্যরা এই বিষয়টি সম্পর্কে একেবারে সচেতন ছিলেন।

"রাউন্ড হ্যাশের দ্বিতীয় উদ্দেশ্য হ'ল ক্লায়েন্টদের সার্ভারের দ্বারা আক্রমণগুলি ট্যাগিং থেকে রক্ষা করা, শংসাপত্র ইস্যুকারী প্যারামিটারগুলি অবশ্যই সমস্ত শংসাপত্রগুলির জন্য অভিন্ন হতে হবে এবং অন্যান্য রাউন্ড মেটাডেটা সমস্ত ক্লায়েন্টদের জন্য একই হওয়া উচিত (উদাঃ সার্ভার আইএসএন 'তা নিশ্চিত করার জন্য' ' টি নিবন্ধনে কিছু সনাক্তকরণযোগ্য পক্ষপাত তৈরি করতে ক্লায়েন্টদের প্রভাবিত করার চেষ্টা করছেন) ”"

এটি ২০২১ সালে ইয়ুভাল কোগম্যান দ্বারা উত্থাপিত হয়েছিল, যা ২০২১ সালে নথিংমুচ নামেও পরিচিত। ইয়ুভাল ছিলেন বিকাশকারী যা ওয়াবিসাবি প্রোটোকল হয়ে উঠবে তা ডিজাইন করার জন্য এবং ইস্তভান অ্যান্ড্রেস সেরেসের সাথে সম্পূর্ণ প্রোটোকল নির্দিষ্ট করে ডিজাইনারদের মধ্যে একজন।

একটি চূড়ান্ত নোট হ'ল ট্যাগিং দুর্বলতা আসলে যুভাল থেকে এই পরামর্শ ব্যতীত সম্বোধন করা হয় না পাশাপাশি প্রকৃত ইউটিএক্সওগুলিতে আবদ্ধ সম্পূর্ণ মালিকানা প্রমাণগুলি তার মূল পুলের অনুরোধে ট্যাগিং আক্রমণগুলি নিয়ে আলোচনা করে প্রস্তাবিত হিসাবে আবদ্ধ। ক্লায়েন্টদের কাছে প্রেরণ করা সমস্ত ডেটা নির্দিষ্ট রাউন্ড আইডিতে আবদ্ধ নয়, সুতরাং একটি দূষিত সমন্বয়কারী এখনও ব্যবহারকারীদের অনন্য রাউন্ড আইডি দিয়ে এবং কেবল প্রয়োজনীয় ডেটা অনুলিপি করে এবং প্রতিটি অনন্য রাউন্ড আইডি পুনরায় দায়ের করে অনুরূপ আক্রমণ টানতে সক্ষম কোনও বার্তা প্রেরণের আগে প্রতি ব্যবহারকারী।

বাস্তবায়ন পর্বের সময় টিমের বাকী অংশের দ্বারা নির্মিত ওয়াসাবি ২.০ এর বর্তমান বাস্তবায়নের ক্ষেত্রে এটিই একমাত্র অসামান্য দুর্বলতা নয়।