Afbeelding: Zcash
In een zeer gesloten volgorde van de gebeurtenissen, de ontwikkelaar team achter de privacy-gericht Zcash cryptocurrency heeft vast een ernstig beveiligingslek dat zou hebben toegestaan dat een kwaadwillende gebruiker, of aanvaller, het genereren van nieuwe Zcash fondsen vanuit het niets zonder bovengrens.
De kwetsbaarheid werd geacht zo gevaarlijk is, dat slechts vier mensen wisten over het voordat een patch uitgebracht aan het einde van oktober 2018.
De vier zijn Ariel Gabizon, een cryptographer werken voor de Zcash Bedrijf en degene die de bug ontdekt; Sean Bowe, een collega Zcash cryptographer die bevestigd Gabizon ‘ s vinden; en Zooko en Nathan Wilcox, de CEO en CTO van, respectievelijk, van de Zcash Bedrijf, zowel van die gecoördineerd de fix.
De paranoia en de geheimhouding achter de patch komt voort uit het feit dat de Zcash cryptocurrency en zijn zeer geavanceerde en privacy-gericht protocol wordt ook gebruikt door JPMorgan Chase, een van de grootste banken in de wereld.
Maar de angst om te verliezen commerciële partners was niet het enige dat de vier Zcash-ontwikkelaars houden hun stilte. De fout zelf, had gevaarlijke gevolgen, als het zou kunnen worden misbruikt om overstroming van de Zcash-ecosysteem met nieuwe fondsen kunnen hebben voor verwaterde en mogelijk vernietigd voor altijd.
In hun verlangen om te voorkomen dat aanvallers misbruik maken van het lek, zelfs als de details over het ooit gelekt, de vier Zcash devs ging zo ver mogelijk te verwijderen van een “grote MPC protocol transcript” –een bestand dat gebruikt had kunnen worden door aanvallers te fine-tunen van hun exploit code.
Toen hem gevraagd werd waarom het bestand verdwenen zijn uit hun servers, de Zcash leiderschap opgeëist “ontbrak wegens toevallige schrapping” (zij is later gereconstrueerd van het bestand van de Dvd ‘ s verzameld van de deelnemers van de oorspronkelijke Zcash lancering ceremonie).
Bug patched afgelopen oktober
De kwestie, die Gabizon in eerste instantie ontdekt op 1 Maart vorig jaar, tijdens het bijwonen van de Financiële Cryptografie 2018 conferentie, werd uiteindelijk opgelost in eind oktober, wanneer de Zcash team bracht het “Boompje” editie van de Zcash-protocol, dat het vervangen van de kwetsbare code met een sterkere wiskundige algoritmen.
Maar de Zcash team niet onthullen details over de kwetsbaarheid meteen. In plaats daarvan, zij medegedeeld andere cryptocurrencies en blockchain projecten die hun oudere, kwetsbare code, zoals Horizen en Komodo, zowel van die uitgerold hun eigen patches snel na.
De Zcash team details bekend over de kwetsbaarheid alleen vandaag, bijna drie maanden na de patch release.
Bug zou hebben is het moeilijk om te stoppen. Nooit werd benut.
De Zcash devs zeggen dat, ondanks alle geheimhouding, ze hadden geen angst om iemand anders te ontdekken hetzelfde probleem, hoewel ze wel volg de juiste procedure en hebben alle nodige voorzorgsmaatregelen toch.
“De ontdekking van de kwetsbaarheid vereist een hoog niveau van technische en cryptografische verfijning die maar weinig mensen bezitten,” het Zcash-team vandaag. “De kwetsbaarheid bestaat al jaren, maar werd niet ontdekt door de expert cryptographers, wetenschappers, derde-partij en de derde partij engineering teams die de projecten op basis van de Zcash-code.”
Zcash devs ook gezegd dat ze niet enkel bewijs vinden dat iedereen gevonden of misbruik te maken van dit beveiligingslek, zonder hun medeweten. Ze zei dat het benutten van dit beveiligingslek zou hebben verlaten “een specifieke vorm van de voetafdruk” op de Zcash blockchain dat ze kunnen sneller gedetecteerd als het ooit gebeurd.
Een project dat hangt af van de oorspronkelijke Sprout protocol dat werd verspreid in de initiële lancering van Zcash is nu te worden als onveilig beschouwd.
Volgens CoinMarketCap, Zcash is de 21e gerangschikte cryptocurrency in de wereld, op basis van marktkapitalisatie.
Verwante artikelen:
LocalBitcoins schuld schending van de beveiliging op het forum van de ” derde-partij software’Security gebreken gevonden in 26 low-end cryptocurrencies
Backdoored cryptocurrency software gevonden waar AZORult malware
Europol arrestaties VERZENDING man voor het stelen van €10 miljoen waard van IOTA cryptocurrency
145 miljoen dollar fondsen bevroren na de dood van cryptocurrency exchange adminTwo hacker groepen die verantwoordelijk zijn voor 60 procent van alle publiekelijk gemeld hacks
Nee, blockchain is niet het antwoord op onze stemming ellende CNET
Blockchain en biometrie: De identiteitskaart van de patiënt van de toekomst? TechRepublic
Verwante Onderwerpen:
Blockchain
Beveiliging TV
Data Management
CXO
Datacenters