Billede: Zcash
I en meget hemmelighedsfuld sekvens af begivenheder, udvikler teamet bag privatlivets fred-fokuseret Zcash cryptocurrency har rettet en alvorlig sårbarhed, der ville have gjort det muligt for en hacker at generere nye Zcash midler fra bunden uden nogen øvre grænse.
Sårbarheden anses for så farlige, at kun fire personer vidste om det før et patch, der blev frigivet i slutningen af oktober 2018.
De fire er Ariel Gabizon, en kryptograf, der arbejder for Zcash Virksomheden og den ene, der opdagede fejlen; Sean Bowe, en fyr Zcash kryptograf, der bekræftede, Gabizon er at finde; og Zooko og Nathan Wilcox, den administrerende DIREKTØR og CTO, henholdsvis af Zcash Virksomhed, både af de, der har koordineret fix.
Paranoia og hemmeligholdelse bag plasteret stammer fra det faktum, at Zcash cryptocurrency og meget avancerede og privatliv-fokuseret-protokollen er også brugt af JPMorgan Chase, en af de største banker i verden.
Men frygten for at miste kommercielle partnere var ikke den eneste ting, der gjorde, at de fire Zcash udviklere holde deres tavshed. De fejl, der selv havde farlige konsekvenser, som det kunne blive misbrugt til at oversvømme Zcash økosystem med nye midler, der kunne have fortyndet og potentielt ødelagt det for evigt.
I deres ønske om at forhindre eventuelle angribere fra at udnytte de fejl, selv om detaljer om det nogensinde er lækket, de fire Zcash devs gik så langt som til at slette et “stort MPC protokol udskrift” –en fil, der kunne have været brugt af hackere til at finjustere deres exploit-kode.
Når du bliver spurgt, hvorfor den fil, der var forsvundet fra deres servere, Zcash ledelse hævdede, at det “var forsvundet på grund af utilsigtet sletning” (de senere rekonstrueret fil fra Dvd ‘ er, der er indsamlet fra deltagerne af den oprindelige Zcash åbningsceremoni).
Fejl patched sidste oktober
Spørgsmålet, som Gabizon oprindeligt opdaget på Marts 1, sidste år, mens der deltager i den Finansielle Kryptografi 2018-konference, blev i sidste ende løst i slutningen af oktober, når Zcash team har udgivet “Ungt” udgave af Zcash protokol, som har erstattet de sårbare kode med stærkere matematiske algoritmer.
Men Zcash team ikke afsløre detaljer om sårbarhed højre væk. I stedet, de er anmeldt af andre og lad os starte blokkæden projekter, der har brugt deres ældre, sårbare kode, som Horizen og Komodo, der begge er opbygget deres egne patches snart efter.
Den Zcash team afsløret detaljer om den sårbarhed, kun i dag, næsten tre måneder efter patch release.
Bug ville have været svært at stoppe. Blev aldrig udnyttet.
Den Zcash devs sige, at på trods af alle de hemmeligheder, de ikke frygter nogen andre at opdage det samme problem, selv om de fulgte korrekte procedure, og tog alle nødvendige forholdsregler for ikke desto mindre.
“Opdagelsen af den sårbarhed, ville det have krævet en høj grad af tekniske og kryptografiske raffinement, at meget få mennesker besidder,” Zcash holdet i dag. “Den sårbarhed, som havde eksisteret i flere år, men blev opdaget af talrige ekspert kryptografer, forskere, tredje-parts revisorer, og tredjeparts-engineering teams, der er iværksat nye projekter, baseret på Zcash kode.”
Zcash devs også sagt, at de ikke kan finde nogen beviser for, at nogen har fundet eller udnyttet denne fejl uden deres viden. De sagde, at udnytte denne svaghed ville have betydet “af en bestemt slags fodaftryk” på Zcash blokkæden, at de nemt kunne have opdaget, hvis det nogensinde er sket.
Ethvert projekt, der afhænger af den oprindelige Spire-protokollen, der blev distribueret i den oprindelige lancering af Zcash er nu betragtes som usikre.
Ifølge CoinMarketCap, Zcash er den 21 rangeret cryptocurrency i verden, der er baseret på markedsværdi.
Relaterede historier:
LocalBitcoins bebrejder brud på forum ‘tredje-parts software’Security fejl fundet i 26 low-end lad os starte
Backdoored cryptocurrency software, der findes servering AZORult malware
Europol anholdelser BRITISKE mand for at stjæle €10 millioner værd af TØDDEL cryptocurrency
$145 millioner midler indefrosset efter døden af cryptocurrency udveksling adminTwo hacker grupper, som er ansvarlige for 60 procent af alle offentligt rapporteret hacks
Nej, blokkæden er ikke svaret på vores afstemningssystem elendighed CNET
Blokkæden og biometri: patient-ID ‘ et i fremtiden? TechRepublic
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre