Bild: Zcash
I en mycket hemlighetsfull sekvens av händelser, det team av utvecklare bakom sekretess-fokuserad Zcash cryptocurrency har fixat en allvarlig sårbarhet som skulle ha gjort det möjligt för en angripare att generera nya Zcash medel från scratch, utan någon övre gräns.
Sårbarheten anses så farligt att bara fyra personer som visste om det innan en patch släpptes i slutet av oktober 2018.
De fyra är Ariel Gabizon, en kryptograf arbetar för Zcash Företaget och den som upptäckte felet, Sean Bowe, en kollega Zcash kryptograf som bekräftade Gabizon är att hitta, och Zooko och Nathan Wilcox, VD och CTO, respektive, av Zcash Företag, både som samordnas fix.
Paranoia och hemlighetsmakeri bakom patch härrör från det faktum att Zcash cryptocurrency och dess mycket avancerad och integritet-fokuserad-protokollet används också av JPMorgan Chase, en av de största bankerna i världen.
Men rädslan att förlora kommersiella partners var inte den enda som gjort fyra Zcash utvecklare hålla sin tystnad. Fel, själv, hade farliga konsekvenser, eftersom det kan missbrukas för att översvämma Zcash ekosystem med nya medel, som kunde ha spätts och potentiellt förstörde det för evigt.
I sin strävan att hindra angriparna från att utnyttja den svagheten, även om detaljer om det någonsin har läckt ut, de fyra Zcash devs gick så långt som att ta bort en “stor MPC protokoll transcript” –en fil som skulle ha kunnat användas av angripare för att finjustera sina utnyttja koden.
När vi frågade varför filen hade försvunnit från sina servrar, Zcash ledarskap hävdade att det “saknades på grund av oavsiktlig radering” (de senare rekonstrueras filen från Dvd-skivor som samlats in från deltagare i den ursprungliga Zcash lanseringen ceremoni).
Bugg fixad sista oktober
Frågan, som Gabizon ursprungligen upptäcktes den 1 Mars förra året, medan de som deltog i den Finansiella Kryptografi 2018 konferens, blev så småningom fast i slutet av oktober när Zcash laget släppte “Planta” version av Zcash protokoll, som ersatte den utsatta kod med starkare matematiska algoritmer.
Men Zcash lag inte lämna ut detaljer om sårbarheten direkt. Istället, de anmälda andra cryptocurrencies och blockchain projekt som använt sina äldre, utsatta kod, såsom Horizen och Komodo, som båda rullade ut sina egna patchar snart efter.
Den Zcash team avslöjas detaljer om sårbarheten endast idag, nästan tre månader efter patch release.
Felet skulle ha varit svårt att sluta. Var aldrig utnyttjas.
Den Zcash devs säga att trots allt hemlighetsmakeri, att de inte fruktar någon annan att upptäcka samma problem, även om de fick följa med korrekt förfarande och tog alla nödvändiga försiktighetsåtgärder ändå.
“Upptäckten av sårbarheten skulle ha krävt en hög grad av teknisk och kryptografisk finess som få människor besitter,” Zcash laget sa idag. “Sårbarhet hade funnits i flera år men var oupptäckt av många expert kryptografer, forskare, utomstående revisorer och utomstående tekniska team som har tagit initiativ till nya projekt som bygger på Zcash koden”.
Zcash devs också sagt att de inte finna något bevis för att någon hittat eller utnyttjas detta fel utan deras vetskap. De sade att utnyttja denna sårbarhet skulle ha lämnat “en viss typ av fotavtryck” på Zcash blockchain att de kunde ha lätt att upptäcka om det någonsin hänt.
Projekt som beror på den ursprungliga Gro protokoll som fanns i den ursprungliga lanseringen av Zcash är nu att betraktas som osäkra.
Enligt CoinMarketCap, Zcash är den 21: a rankad cryptocurrency i världen, baserat på börsvärde.
Relaterade artiklar:
LocalBitcoins skyller brott mot säkerheten på forumet programvara från tredje part’Security brister som finns i 26 low-end cryptocurrencies
Backdoored cryptocurrency programvara som finns serverar AZORult malware
Europol arresteringar UK man för att ha stulit €10 miljoner DUGG cryptocurrency
$145 miljoner medel frysta efter döden av cryptocurrency utbyte adminTwo hacker grupper som ansvarar för 60 procent av alla offentligt redovisade hacks
Nej, blockchain är inte svaret att vårt valsystem elände CNET
Blockchain och biometriska kännetecken: patient-ID i framtiden? TechRepublic
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter