¡Bienvenido! ¿Eres nuevo en Zcash?
The Zcash network is young, but evolving quickly! Sign up and we'll be in touch with monthly highlights on ecosystem growth, network development and how to get started with Zcash!

Idioma

Anuncio de Seguridad 2017-04-13

Zooko Wilcox & Paige Peterson | Apr 13, 2017

Sinopsis: Un bug relacionado con el manejo de las prioridades de transacciones puede permitir a un atacante bloquear nodos Zcash (DoS) a través de una transacción especialmente diseñada. Hemos implementado una corrección en la versión zcashd 1.0.8-1.

Existe un artículo aparte sobre el lanzamiento que documenta los cambios incluidos.

ZcashCo, junto a varios sitios de cambio, vendedores de billeteras y mineros, ha desplegado ya una mitigación, así como detectores para este vector de ataque. No se han detectado ataques.

¿Quién está en riesgo?: Están en riesgo aquellos usuarios que utilicen versiones de zcashd entre la 1.0.4 y la 1.0.8 inclusive.

Hemos colaborado con los grandes sitios de cambio, proveedores de billeteras y mineros y ya han mitigado este problema para sus servicios.

¿Quién no está en riesgo?: Los usuarios que han actualizado a zcashd 1.0.8-1, o dependen de un servicio que lo haya hecho, no están en riesgo.

¿Cómo pueden protegerse los usuarios que están en riesgo?

  1. La actualización a la versión zcashd 1.0.8-1 es la protección más segura.
  2. Para los usuarios de servicios de terceros (tales como sitios de cambio, billeteras, o fondos de minería), deben comprobar si el servicio ha anunciado haberse actualizado a zcashd 1.0.8-1.

¿Como puedo saber si está ocurriendo un ataque? ZcashCo y varios grandes sitios de cambio, proveedores de billeteras y mineros han desplegado sensores que detectan los ataques contra este vector. En caso de que un ataque sea detectado, ZcashCo tomará las siguientes acciones:

Nota: Las casas de cambio, vendedores de billeteras y mineros con los que estamos en contacto, ya están protegidos contra ataques como este.

Impacto: Si una transacción de ataque se ejecuta con éxito, entonces sólo los usuarios que ejecutan clientes vulnerables que han aceptado la transacción en su mempool serán vulnerables. Aceptar la transacción de un atacante con un cliente antiguo puede causar que el cliente Zcash se bloquee.

Antecedentes técnicos: Zcash, como Bitcoin, asigna una prioridad a las transacciones para decidir si deben ser aceptadas en el mempool de un nodo. En la práctica, el volumen de transacciones actual de Zcash es suficientemente bajo para que esto rara vez tenga un efecto, pero el mecanismo está de todas maneras habilitado. En Zcash 1.0.4, se realizó un cambio en este cálculo para aumentar la prioridad de las transacciones blindadas. Sin embargo, un error en este código puede ─en circunstancias que son normalmente raras, pero pueden ser forzadas por un atacante - resultar en un acceso de memoria fuera de los límites, lo que provoca un error de segmentación.

Anuncios de Seguimiento:

Reconocimientos

La Compañía Zcash quiere agradecer a Juliano Rizzo de Coinspect y a @movcrx del proyecto Zclassic por colaborar con nosotros en el análisis y mitigación de este problema.

Security Announcement, security, bugs | Ver todos los tags