Instagram: Bug επηρεάζει τους λογαριασμούς των Kylie Jenner, Ariana Grande και Selena Gomez
infosec

Instagram: Bug επηρεάζει τους λογαριασμούς των Kylie Jenner, Ariana Grande και Selena Gomez

Bug στο Instagram κατέστησε τους λογαριασμούς της Kylie Jenner και των τραγουδιστριών Ariana Grande και Selena Gomez κατά 3 εκατομμύρια...
Read More
infosec

Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS

Ερευνητές ασφαλείας, ανακάλυψαν πολλά αρχεία Windows EXE, που χρησιμοποιούν κακόβουλα payloads για να μολύνουν τους χρήστες macOS με infostealers και...
Read More
infosec

Πώς ένα VPN βοηθά στην προστασία της ιδιωτικότητάς σας στο διαδίκτυο

Τον τελευταίο καιρό ακούγεται ότι εκατομμύρια κωδικοί πρόσβασης σε ιστοσελίδες παραβιάζονται ενώ ταυτόχρονα οι πάροχοι υπηρεσιών στο διαδίκτυο έχουν την...
Read More
infosec

Η ενημέρωση του For Honor διορθώνει πολλά σφάλματα του παιχνιδιού

Την Τετάρτη, η Ubisoft κυκλοφόρησε την τελευταία έκδοση του For Honor update - 2.05. Οι πληροφορίες για το patch, αποκαλύπτουν...
Read More
infosec

Microsoft: Το Patch ασφαλείας της Τρίτης, για το Φεβρουάριο του 2019

Η Microsoft εξέδωσε την Τρίτη μια σειρά από ενημερώσεις για τη διόρθωση τουλάχιστον 70 διαφορετικών ευπαθειών ασφαλείας σε Windows και λογισμικό....
Read More
Latest Posts

Zcash: Προγραμματιστές ανακάλυψαν ευπάθεια που υπήρχε για χρόνια

Οι προγραμματιστές πίσω από την κρυπτογράφηση Zcash με γνώμονα την ιδιωτικότητα ανακάλυψαν πρόσφατα και έκαναν μια πολύ επικίνδυνη ευπάθεια με τον πιο μυστικό τρόπο που θα επέτρεπε σε έναν εισβολέα να κερδίσει έναν άπειρο αριθμό Zcash (ZEC). Ναι, ξεκάθαρα … σαν μια συνεχή πηγή χρημάτων.

Zcash

Λανσαρίστηκε τον Οκτώβριο του 2016, το Zcash είναι κρυπτογράφηση με γνώμονα την ιδιωτικότητα που ισχυρίζεται ότι είναι πιο ανώνυμο από το Bitcoin, καθώς ο αποστολέας, ο παραλήπτης και η αξία των συναλλαγών παραμένουν κρυμμένα.

Σε μια δημοσίευση στο blog που κυκλοφόρησε σήμερα, η Zerocoin Electric Coin Company – η startup πίσω από την Ζcash – αποκάλυψε ότι ένας από τους υπαλλήλους της, ο Ariel Gabizon, ανακάλυψε την ευπάθεια στον κώδικα της την 1η Μαρτίου 2018, το βράδυ πριν από την ομιλία του στο συνέδριο Financial Cryptography σχεδόν πριν από ένα χρόνο.

Ο Gabizon ήρθε σε επαφή με τον Sean Bowe, έναν κρυπτογράφο της εταιρείας Zcash, αμέσως μετά την ανακάλυψη της ευπάθειας παραποίησης / απομίμησης, όπως ονομάστηκε από την ομάδα, και η ομάδα αποφάσισε να διατηρήσει το μυστικό για να αποφύγει τον κίνδυνο εκμετάλλευσης από τους εισβολείς.

Σύμφωνα με την εταιρεία, μόνο τέσσερις υπάλληλοι της Zcash γνώριζαν το ζήτημα προτού συμπεριληφθεί συγκεκαλυμμένη διόρθωση στο δίκτυο Zcash στις 28 Οκτωβρίου 2018.

Εκτός αυτού, δεδομένου ότι «η ανακάλυψη αυτής της ευπάθειας θα απαιτούσε ένα υψηλό επίπεδο τεχνικής και κρυπτογραφικής πολυπλοκότητας που ελάχιστοι άνθρωποι κατέχουν», η εταιρεία πιστεύει ότι κανένας άλλος δεν γνώριζε αυτό το ελάττωμα και ότι δεν υπήρξε εισβολή στο Ζcash.

Τώρα, η ομάδα του Ζcash ανέλυσε λεπτομερώς όλα τα στοιχεία σχετικά με την ευπάθεια στο επίσημο website του για να ενημερώσει το ευρύτερο κοινό, την οποία εάν είχε εκμεταλλευτεί κάποιος εισβολέας θα του επέτρεπε να εκτυπώσει άπειρη ποσότητα από Ζcash tokens.

Λεπτομέρειες για την ευπάθεια Catastrophic Zcash

Σύμφωνα με την ομάδα, η ευπάθεια παραποίησης διέμενε στα zk-SNARKs- μια εφαρμογή κρυπτογράφησης μηδενικής γνώσης που χρησιμοποιεί η Ζcash για την κρυπτογράφηση και την προστασία των συναλλαγών – η οποία εφαρμόστηκε ανεξάρτητα από άλλα έργα.

Και τα Komodo blockchains και Horizen (γνωστά στο παρελθόν ως ZenCash) υπέφεραν από το ίδιο θέμα και σύμφωνα με πληροφορίες το ρύθμισαν στις πλατφόρμες τους αφού ενημερώθηκαν από την ομάδα Zcash στα μέσα Νοεμβρίου του 2018 μέσω κρυπτογραφημένου email.

Οποιοσδήποτε έχει πρόσβαση στο multi-party computation (MPC), το οποίο χρησιμοποιείται για τη ρύθμιση των χαρακτηριστικών απορρήτου του Zcash, θα μπορούσε να δημιουργήσει ψευδείς αποδείξεις, παρέχοντάς τους τη δυνατότητα να δημιουργήσουν μια απεριόριστη ποσότητα νομισμάτων.

Αν και οι προγραμματιστές δεν βρήκαν στοιχεία που να αποδεικνύουν την ύπαρξη εισβολής στο Zcash, επιβεβαίωσαν ότι η ευπάθεια υπήρχε εδώ και χρόνια.

«Η ευπάθεια υπήρχε για χρόνια αλλά δεν ανακαλύφθηκε από πολλούς κρυπτογράφους εμπειρογνώμονες, επιστήμονες, ελεγκτές τρίτου-μέρους και ομάδες-τρίτων μηχανικών που ξεκίνησαν νέα έργα με βάση τον κώδικα Zcash», γράφει η εταιρεία.

Από τότε που το Zcash είναι ιδιωτικό, αν και κάποιος θα μπορούσε να παραποιήσει το Zcash στο παρελθόν, δεν υπάρχει τρόπος να το ανακαλύψουμε. Ενώ, η Zcash Company διαφώνησε «Μελέτησαμε το blockchain για να βρούμε αποδείξεις σχετικά με την ευπάθεια: Μια επίθεση μπορεί να αφήσει ένα συγκεκριμένο είδος αποτυπώματος. Δεν εντοπίσαμε κάποιο τέτοιο αποτύπωμα.»

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *