Bem vindo! Novo em Zcash?
The Zcash network is young, but evolving quickly! Sign up and we'll be in touch with monthly highlights on ecosystem growth, network development and how to get started with Zcash!

Idioma

Resultados da Auditoria da Zcash

Maureen Walsh and Nathan Wilcox | Oct 27, 2016

Como uma equipe focada em segurança, composta de talentos de classe mundial, priorizamos a segurança dos utilizadores da Zcash. A verdadeira segurança vem diretamente do poder dos os usuários, e para esse fim, nós sempre iremos divulgar as vulnerabilidades que encontramos (assim como estamos certos de tal divulgação não irá prejudicar os usuários), e sim para descrever como nós tivermos corrido ou como nós pretendemos corrigir.

De acordo com esse valor, e com a nosso iminente lançamento, é importante compartilhar com todos, os detalhes da auditoria que encomendamos.

Recapitulando a Segurança

Para dar contexto, em abril destacamos algumas vulnerabilidades aos poucos no nosso código, que nossa equipe encontrou e corrigiu. Em agosto, nós anunciamos o nosso trabalho com dois times top de auditores de segurança, e estamos apresentando esses resultados da auditoria de segurança neste post [1].

Mantivemos uma página de segurança neste site com informações de segurança atualizadas sobre Zcash. Nós também mantivemos um documento de avisos de segurança para cada versão.

Auditorias de Segurança

Hoje estamos publicando os relatórios finais de cada auditor de segurança externo que contratamos neste este verão para rever o nosso código. Realizamos uma triagem dos problemas encontrados e abordamos qualquer um dos problemas que consideramos grave (por exemplo, que poderia comprometer a privacidade do usuário, perder fundos, quebrar o consenso, etc ...).

Além disso, mantivemos em contato com os desenvolvedores do Bitcoin Core para garantir quaisquer conclusões relativas à nossa base de código (que é derivado do Bitcoin Core v0.11.2) que não apresenta qualquer risco substancial para os usuários do Bitcoin. Nós também envimos notificações privadas para desenvolvedores do Bitcoin Unlimited, Bitcoin XT, e para o Bitcoin Classic. Nós não entramos em contato com desenvolvedores de quaisquer outros projetos derivados do Bitcoin Core base de código.

Cada um dos auditores prepararam relatórios de seu trabalho e de suas descobertas. Todos os relatórios estão hospedados em seus respectivos sites. Aqui nós apresentamos os links para seu acesso, nosso issue tracker buscou os trabalho de auditoria deles, e os seus resumos de projetos:

NCC Group

Report URL: https://www.nccgroup.trust/us/our-research/zcash-cryptography-and-code-review/?research=Public+Reports

Zcash Issue Tracking: NCC findings

Resumo:

“NCC Group realizou em duas parte uma revisão orientada para a implementação criptomoeda da Zcash. A primeira parte, foi realizada pela prática dos serviços de criptografia do Grupo, com foco na validação da implementação da Zcash que aderiu ao Especificação do Protocolo da Zcash. Também foi realizada uma avaliação à procura de erros de segurança no âmbito da implementação de criptografia. A segunda parte foi a revisão do código fonte em C ++ para encontrar vulnerabilidades usando análise estática e dinâmica e teste fuzz. A revisão também incluiu uma avaliação superficial da dependências de bibliotecas e recomendações para a melhora das práticas de software garantindo a segurança na Zcash.

NCC Group também identificou um problema que permitiria que um adversário pudesse mexer com a verificação e utilizando chaves usadas pelo daemon da Zcash, bem como um número de erros de codificação em C ++ que poderia resultar em estouro de buffer baseado em pilha, corridas de dados, questões de uso da memória pós liberação, vazamentos de memória, e outras condições de erro de tempo de execução com potencial risco. Além disso, a maioria, se não todos, de dependências de bibliotecas de terceiros com código aberto foram identificados como estando desatualizados. No final, NCC Group não encontrou quaisquer problemas de gravidade críticos que possam prejudicar a integridade do blockchain da Zcash ou que gere algum risco de segurança das transações confidenciais durante o tempo em que a revisão foi conduzida (de 8 agosto à 2 setembro, 2016)"

Coinspect

Report URL: https://coinspect.com/doc/CoinspectReportZcash2016.pdf

Anúncio deles: https://coinspect.com/zcash-security-audit-results

Zcash Issue Tracking: Coinspect findings

Resumo:

"Coinspect avaliou as inovações da Zcash sobre o código-fonte do Bitcoin Core, focado em avaliar a sua resistência contra ameaças específicas às criptomoedas. Coinspect identificou problemas de alto risco e de risco moderado durante a avaliação que afetou o desempenho e a disponibilidade da rede p2p da Zcash. Os problemas de segurança identificados não permitiriam a execução remota de código, nem permitiriam um invasor roubar dinheiro ou comprometer a privacidade dos usuários da Zcash. No entanto, achamos exploráveis ataques de 51% e ataques de isolamento com recursos mínimos.

É uma honra para Coinspect contribuir com a nossa experiência em segurança criptomoeda para a equipe excepcional por trás deste emocionante projeto".

Conclusão

Estamos empenhados em servir aos nossos usuários e a comunidade, e uma das melhores maneiras de fazer isso é dar transparência. Zcash ainda está em um estágio inicial, é experimental e bem nova; os usuários são encorajados a se educar sobre os riscos envolvidos em ser uma parte direta do protocolo da Zcash e da rede.

Por favor, junte-se aos desenvolvedores da Zcash e nossa comunidade no nosso Slack e nossas discussões no ` Fórum`_.

[1]Nosso blog há post também descrevendo o nosso trabalho com Solar Designer, que analisamos o nosso sistema de Prova de Trabalho Equihash. Nós nos concentramos nas auditorias de segurança e suas atenuações neste post, e vamos postar a análise Equihash em um post mais tarde.