Выпуски 5.3.3 и 5.4.2 устраняют уязвимости, унаследованные от Bitcoin Core

Все новости про Zcash в социальной сети «X» (бывший Twitter)  |  Интересные видео про Zcash на YouTube

Переведено из блога ECC | 15 марта 2023 I Примечания ruzcash

Выпуски 5.3.3 и 5.4.2 ужесточают код zcashd и устраняют уязвимости, унаследованные от Bitcoin Core.

По сообщению Halborn — компании, которая специализируется на кибербезопасности, данная уязвимость “нулевого дня” могла затронуть более 280 сетей блокчейнов.

«У нас нет никаких доказательств того, что в сети Zcash мог быть эксплойт. Эта уязвимость не ставит под угрозу конфиденциальность пользователей и не влияют на предложение Zcash. Как всегда, если вы заметили какую-либо необычную активность на вашем узле, пожалуйста, сообщите об этом в security@z.cash.»

Electric Coin Co

Все операторам узлов Zcash версий 5.3.1 и 5.3.2 необходимо как можно скорее обновиться до 5.3.3, а всем операторам узлов версий 5.4.0 и 5.4.1 необходимо обновиться до 5.4.2.

История и суть проблемы

Уязвимости, обнаруженные Halborn в ходе аудита Dogecoin в 2022 году, были впервые раскрыты ECC и участникам других затронутых сетей 14 февраля, а более подробная информация была передана в телефонном разговоре 17 февраля. В ECC немедленно был инициирован процесс обеспечения безопасности и разработчики начали координировать свои действия с ZecSec.com (независимой командой безопасности, финансируемой сообществом Zcash), и программистами из Zcash Foundation, которые проанализировали влияние уязвимостей на собственную реализацию узла zebrad. ECC также обратились к Horizen, Komodo и другим командам, с которыми существуют соглашения о раскрытии.

«В течение нескольких дней у нас были готовы исправления zcashd для тестирования сторонними разработчиками, но публичные релизы были отложены, чтобы дать другим проектам время завершить свои собственные исправления и обеспечить скоординированную связь, учитывая деликатный характер проблемы.»

Electric Coin Co

В Halborn обнаружили, что недостатки к коде могут позволить злоумышленнику использовать сообщения одноранговой сети для заполнения памяти узлов, вынуждая их аварийно завершать работу. Выводя из строя узлы, используемые для инфраструктуры майнинга пулами или отдельными пользователями, злоумышленник мог иметь возможность существенно сократить объём хэш-мощности. Подобный лавинообразный вывод майнеров из работы мог подвергнуть блокчейн атаке 51% — ситауция, когда злоумышленник контролирует большую часть хэшрейта. Успешная атака 51% потенциально может быть использована для выполнения атаки с двойными расходами, которая может привести к тому, что пользователи, получившие транзакции от злоумышленников, потеряют свои средства.

«У нас нет оснований полагать, что сеть Zcash в настоящее время уязвима для атаки 51%, но из соображений предосторожности мы усилили защиту узлов zcashd, чтобы они не могли быть выведены из строя с помощью этой ошибки.»

Electric Coin Co

Другие найденные уязвимости нулевого дня, которые не актуальны для Zcash из-за различий в кодовой базе, позволяют потенциальным злоумышленникам вывести из строя узлы блокчейна путем отправки запросов на удаленный вызов процедур (RPC) – протокол, позволяющий одной программе общаться и запрашивать услуги у другой. В Zcash для проведения такого типа атаки требуются действительные учётные данные пользователя узла.

ECC имеет опыт быстрого и скоординированного реагирования на подобные инциденты и хорошо известна тем, что предоставляет безопасные технологии пользователям Zcash и другим проектам, ориентированным на конфиденциальность. Чтобы узнать наши последние новости и обновления продукта, пожалуйста, подписывайтесь на @electriccoinco в Twitter.

Electric Coin Co

Arborist Call Bitcoin Halo NU5 Orchard PoS PoW z2z Zcash zcashd Zcon Zebra ZIP ZKP ZSA Доказательства с нулевым разглашением Дорожная карта Зуко Уилкокс Ключи просмотра Конференции Кошельки Кошельки для Zcash Метрики Нода Релизы аппаратные кошельки биржи и обмены биткоин будущее криптовалют внедрение интеграции интервью конфиденциальность криптовалюта майнинг новости Zcash обновление сети объяснения обёрнутые токены платёжное средство регулирование транзакции унифицированные адреса цена ZEC эмиссия

Метки: , ,

Все новости про Zcash в социальной сети «X» (бывший Twitter)  |  Интересные видео про Zcash на YouTube

Вы можете поддержать автора проекта pro.zcash:
(для отправки доната на данный адрес требуется кошелёк с функционалом экранированных транзакций)

zcash:zs17agzpy3lafx32le45v73hu6etfew4mel7rtkta85xmnnapqzchelc8zyx054mskkvgqngdeepms

автоматическая ссылка

Комментировать статью: