Jump to content
ALTVPN
invest-tracing
TRX
Реклама

Уязвимость в сети Zcash могла привести к потерям миллионов долларов


Recommended Posts

Zcash, ведущая криптовалюта конфиденциальности на рынке, недавно объявила, что обнаружила подделку в «криптографии, лежащей в основе некоторых доказательств с нулевым разглашением». Интересно, что эта уязвимость была обнаружена компанией Zcash в марте 2018 года, около одиннадцати месяцев назад. Позднее это было исправлено в октябре 2018 года во время обновления Sapling Network.

 

zcah.png

 

Подробности уязвимости не были раскрыты ранее, потому что компания Zcash не хотела, чтобы злоумышленники использовали ее. В частности, чтобы предотвратить нападение, три члена сообщества Zcash, включая Zooko Wilcox, генерального директора Zcash, решили удалить стенограмму протокола MCP, «которая позволила бы противнику создавать ложные доказательства» . Он был удален «под совпадающей историей оперативного прикрытия». Вскоре после этого команда решила также удалить всю резервную копию стенограммы. Кроме того, команда утверждала, что эта стенограмма вряд ли была загружена.


Согласно официальному объявлению, уязвимость не оказала влияния на конфиденциальность пользователей и ограничивалась только подделкой. Это означает, что злоумышленник мог создать только поддельный Zcash. Злоумышленник также имел возможность успешно справиться с этим, не будучи обнаруженным. Более того, команда также показала в отчете, что в коде Zcash присутствовала фальсифицированная уязвимость в течение нескольких лет, до ее обнаружения.

Несмотря на серьезность, команда утверждает, что уязвимость ранее не использовалась, а также изложила причины, по которым ее никто не обнаружил. Причины, изложенные компанией относительно того, почему они уверены, что уязвимость не была обнаружена:

 

Требуется высокий уровень технической и криптографической сложности для выявления уязвимости, и, по их мнению, только очень немногие люди обладают такими навыками высокого уровня
В течение нескольких лет он оставался незамеченным аудиторами, криптографами, учеными и даже командами разработчиков, которые запустили новые проекты на основе кода Zcash.

 

Команда пока не нашла никаких доказательств, касающихся использования уязвимости. Они добавили, что если бы это произошло, это было бы обнаружено путем мониторинга общего количества Zcash, хранящегося в адресах ростков.
Компания предприняла «неординарные» шаги, чтобы минимизировать вероятность атаки

Тем не менее, компания добавила, что, хотя сам Zcash сейчас находится в безопасном убежище, есть проекты, на которые это может повлиять. Это может быть любой проект, который зависит от MPC, используемой исходной системой прорастания, которая была распространена при первоначальном запуске Zcash». Кроме того, компания также сообщила, что это было раскрыто сторонним проектам: Horizen [aka ZenCash ] и Комодо.

Объявление гласило:

Цитата

«Мы считаем, что шаги, которые мы предприняли для смягчения этой проблемы, работая над обеспечением безопасности пользователей Zcash, были успешными. Более подробная информация о конкретных событиях, которые произошли от первоначального обнаружения уязвимости подделки посредством этого раскрытия, будет освещена в будущем сообщении».

 

Link to comment
HotHeads
Реклама на форуме

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...