Розробники ZCash виявили та виправили вразливість, яка загрожувала "нескінченними підробками"


Published on 07 Feb. 2019
Mobile phone 2510529 1280

Команда розробників ZCash, однієї з найбільших за капіталізацією конфіденційних криптовалют (на момент написання статті це понад $275 млн) у вівторок, 5 лютого, оприлюднила інформацію про знайдений критичний баг у коді ZCash, який був виявлений криптографом ZCash Аріелем Ґабізоном (Ariel Gabizon) близько року тому.

У березні минулого року під час підготовки презентації для конференції з фінансування криптографії   Ґабізон виявив критичний недолік криптографічних функцій, що лежать в основі zk-SNARKS, алгоритму доказу з нульовим розголошенням, який використовується ZCash та іншими монетами для можливості застосування налаштувань конфіденційності користувачами  для отримання справжньої анонімності при здійсненні криптовалютних транзакцій.

В ZCash зазначають, що вразливість (яка була настільки глибокою, що кращі світові експерти в криптографії не помічали її протягом багатьох років) ніяк не загрожувала анонімності мережі, але могла бути використана хакерами, щоб створити необмежену кількість підроблених ZCash.

Якби дефект був виявлений більш недобросовісним розробником, він міг би бути використаний, щоб викрасти мільйони доларів у користувачів ZCash, перш ніж вони щось зрозуміли, і таким чином підірвати довіру ринку до конфіденційної монети.

Оскільки деякі інші криптовалюти використовують ті ж алгоритми, ставки були високими. До них відносяться Komodo, чиї токени KMD мають загальну ринкову вартість, яка перевищує 70 мільйонів доларів, і Horizen (який раніше називався ZenCash), чиї токени ZEN оцінюються в $22 млн.

Враховуючи потенційну кількість коштів користувачів, які вони могли втратити внаслідок крадіжки та саботажу, Zcash вирішив таємно сповістити розробників Komodo та Horizen і тільки після цього вони спокійно здійснили фіксацію вразливості в оновленні мережі ZCash Sapling наприкінці жовтня.

Емін Ґюн Сірер (Emin Gün Sirer), професор Корнельського університету інформаційних технологій, написав, що всі конфіденційні монети могли постраждати від вразливості “нескінченних підробок”,а ця вразливість є притаманною лише для цих монет:

Але досить складно охарактеризувати ці вразливості як "ендемічні" для конфіденційних монет.

Як сказав розробник Bitcoin Core Пітер Тодд (Peter Todd) це лише одна з двох вразливостей, які знайшов Zcash:

Крім того, в оману вводить те, що здається що лише розробники ZCash та інших конфіденційних монет є єдиними криптографами, які знайшли і виправили недоліки безпеки, які могли бути використані для створення підроблених криптовалютних монет.

У вересні минулого року оновлення Bitcoin Core включало виправлення для іншого виду вразливостей коду, які можна було б використати для створення такого самого результату для шахраїв - можливість створювати нескінченну кількість біткойна, не дотримуючись консенсусних правил чи витрат, які мають легітимні майнери біткойна.

Але у всіх цих випадках, для біткойна, а також для блокчейнів, які використовують zk-SNARKS для захисту анонімності користувачів, вразливості були виявлені розробниками мереж і виправлені. Ці моменти підкреслюють ризики використання нових фінансових технологій однорангових платежыв, але вони також відображають цілісність, навички та наполегливість розробників які стоять за криптовалютами і повинні викликати довіру до цих команд.

Ось чому Едвард Сноуден (Edward Snowden), колишній співробітник Агентства національної безпеки США, NSA, похвалив ZCash за те, як вони виявили вразливість і здійснили розумні кроки, щоб виправити це, зберігаючи і безпеці мільйони доларів користувачів:

Ось чим подобається  ZCash! Команда розробників знайшла і знешкодила вразливість. Багато розробників криптовалют дізнаються про вразливості лише після того, як користувачі втратили свої кошти.

Хоча біткойн пропонує користувачам високий ступінь конфіденційності та анонімності, всі транзакції в мережі біткойна є загальнодоступною інформацією у великому розподіленому реєстрі, де видно суми та транзакції.

Замість того, щоб приховувати інформацію, у публічному блокчейні біткойн все це можна перевірити (хоча без назви будь-якої особи або установи, пов’язаної до будь-якого номера рахунку або транзакції).

Використання протоколу з нульовим розголошенням ZCash фактично приховує фінансову інформацію та активність користувачів, дозволяючи їм достовірно довести решті мережі, що вони знають задану цінність, не розкриваючи нічого про саму цінність або будь-які інші знання.

ZCash чудово підходить для конфіденційності, що робить його ідеальним блокчейном в криптовалютній екосистемі, яка може бути використана для створення справді приватних і анонімних переказів грошей.

Зрештою, ZCash може бути конвертований у біткойн, щоб зменшити вплив від очевидних ризиків зберігання монет з меншою ринковою капіталізацією, меншими витратами для розвитку та меншим досвідом у виявленні та усуненні багів.


More news

Ціна Basic Attention (BAT) зростає після випуску сміливого релізу для Android


Ціна BAT оживилася, очікуючи стрибка активності та повернення до більш високих оцінок.

17 Apr. 2019

На азіатських ринках продовжує зростати попит на токени Tether


Через зростання попиту на азіатських біржах, ліквідність токенів USDT зростає, а гаманець компанії стає дедалі “тоншим”.

16 Apr. 2019

Ціна Bitcoin SV знизилася на понад 33,78% після делістингу з Binance


Ціна Bitcoin SV (BSV) на початку тижня обвалилася на 33,78% за останні сім днів.

16 Apr. 2019