Greetings! New to Zcash?
The Zcash network is young, but evolving quickly! Sign up and we'll be in touch with monthly highlights on ecosystem growth, network development and how to get started with Zcash!

言語

Zcash監査結果

Maureen Walsh and Nathan Wilcox | Oct 27, 2016

世界のトップクラスの人材で結成され、セキュリティを重視するチームである Zcashは、ユーザーのセキュリティを最優先します。真のセキュリティは、 ユーザーをじかに啓蒙することから生まれます。そのため、私たちは (ライブユーザーに危害がないと判断した時点で)脆弱性を開示し、 対応策を説明します。

その価値を維持するため、またローンチが近づいているため、 委託された監査のすべての詳細を共有することが重要です。

セキュリティのまとめ

背景を説明すると、4月にチームに発見、修正されたコード内の 脆弱性についてご説明しました。8月には、2つのトップクラスのセキュリティ監査チームと共同して作業を行うことを発表 しました。この記事( [1])では、この監査結果についてお話しします。

Zcashに関する最新のセキュリティ情報は、このサイトの セキュリティページ に掲載されています。また、リリースごとに セキュリティ警告 文書を保持しています。

セキュリティ監査

今日は、コードを見直すために今年夏に契約した外部セキュリティ 監査人による最終報告書を公開します。 重大とみなされる問題 (ユーザープライバシーの侵害、資金の喪失、同意の破棄など)が発見 され、対処されました。

さらに、Bitcoin Core 開発者と連絡を密にし、コードベース (Bitcoin Core v0.11.2 に由来)関連の調査結果がビットコインユーザーに リスクを及ぼす危険がないようにしています。Bitcoin UnlimitedBitcoin XT、および`Bitcoin Classic`_ の開発者にも非公開の通知を送信 しています。Bitcoin Core コードベースから派生したその他のプロジェクトの 開発者には連絡していません。

監査担当者は、各自作業と調査内容のレポートを作成しています。全員各自の ウェブサイトでホストされています。以下は、監査担当者のレポートと、 監査作業の追跡に使用するイシュートラッカー、プロジェクト概要のリンクです。

NCCグループ

レポートのURL: https://www.nccgroup.trust/us/our-research/zcash-cryptography-and-code-review/?research=Public+Reports

Zcashイシュートラッキング: NCC 調査結果

概要:

“NCC Groupは、Zcash暗号通貨の実装に対する2部構成のレビューを実行 しました。最初の部分は、Zcashプロトコルの仕様に基づいてZcashの実装認証 に焦点をあて、NCC Groupの暗号通貨サービスにより行われました。 暗号通貨の実装内のセキュリティエラーを検索する評価も実行されました。 2つ目の部分は、静的および動的な分析とファズテストを使用する脆弱性の C++ のソースコードのレビューでした。このレビューでは、Zcashのソフト ウェアの品質保証を向上するための従属したライブラリと推薦の大まかな 評価も行われました。

NCC Groupは、スタックベースのバッファーオーバーフロー、データ レース、解放済みのメモリ領域の問題、メモリリーク、およびその他の ランタイムエラー状況につながるC++ コーディングエラーとZcashデーモン により使用される認証とキーに対して影響を及ぼす可能性のある問題を 認識しました。さらに、第三者のオープンソースライブラリのすべて、 あるいはほとんどが期限を超過したものとして認識されました。最終的に、 NCC Groupのレビューが実行された期間(2016年8月8日から9月2日)中、 Zcashブロックチェーンの整合性を害したり、非公開トランザクションの 安全性を低減するような重大な問題は見つかりませんでした。

Coinspect

レポートのURL: https://coinspect.com/doc/CoinspectReportZcash2016.pdf

発表: https://coinspect.com/zcash-security-audit-results

Zcashイシュートラッキング: Coinspect調査結果

概要:

“Coinspectは、暗号通貨への特定の脅威に対する抵抗力を評価することに 注力し、Bitcoin Coreソースコードに対するZcashのイノベーションを検証 しました。この検証において、CoinspectによりZcash p2pネットワーク の性能と有用性に影響を与えた高リスクおよび通常リスクの問題が指摘 されました。指摘されたセキュリティの問題では、リモートコードの実行や、 攻撃者による資金の盗難およびZcashユーザーのプライバシー侵害は許可 されませんでした。しかしながら、最低限のリソースでセキュリティホールと なる51%の孤立した攻撃を発見しました。

このエキサイティングなプロジェクトに携わる優秀なチームに、Coinspectの 暗号通貨セキュリティの技術と経験が貢献できることを光栄に思います。

結論

Zcashでは、ユーザーおよびコミュニティのお役に立つことに尽力しています。 それを実行する最善の方法は、透明性を提供することです。Zcashは未だ 発生期の段階にあります。新しく、実験的であるため、ユーザー自らZcash プロトコルやネットワークに直接的に関わり、リスクについて積極的に 学ぶことをおすすめします。

ZcashのSlack および フォーラム で、Zcashの開発者やコミュニティの 議論にご参加ください。

[1]このブログには、Equihash 作業証明書システムを分析している Solar Designerとの協力について説明 した記事もあります。この記事では、セキュリティ監査と軽減に焦点を当て、 後Equihashの分析に関する記事を投稿します。