Bem vindo! Novo em Zcash?
The Zcash network is young, but evolving quickly! Sign up and we'll be in touch with monthly highlights on ecosystem growth, network development and how to get started with Zcash!

Idioma

Aviso de Segurança 2017-04-13

Zooko Wilcox & Paige Peterson | Apr 13, 2017

Sinopse: Um bug relacionado ao tratamento de prioridade de transação pode permitir que um invasor derrube os nós da Zcash (DoS) por meio de uma transação especialmente fradulenta. Uma correção é implementada no lançamento zcashd 1.0.8-1.

Há um post separado de lançamento que documenta as alterações incluídas.

ZcashCo e várias corretoras, provedores de carteiras e mineradores já implantaram uma mitigação, bem como detectores para este vetor de ataque. Nenhum ataque foi detectado.

Quem está sob risco: Os usuários em risco compreendem aqueles que dependem dos lançamentos zcashd começando com 1.0.4 até 1.0.8, inclusive.

Temos colaborado com grandes corretoras, fornecedores de carteiras e mineradores e eles já têm atenuado este problema para os seus serviços.

Quem não está sob Risco: Os usuários que atualizaram para o zcashd 1.0.8-1, ou dependem de um serviço que o tenha feito, não estão em risco.

Como os usuários podem se proteger deste risco?

  1. A atualização para o lançamento zcashd 1.0.8-1 é a proteção mais certeira.
  2. Para usuários de serviços de terceiros (como corretoras, carteiras, ou pools de mineração), verifique se o serviço anunciou a efetivação da atualização para zcashd 1.0.8-1.

Como posso saber se um ataque está ocorrendo? ZcashCo e várias grandes exchanges, fornecedores de wallets e mineiros implementaram sensores que detectam ataques contra esse vetor. No caso de um ataque ser detectado, a ZcashCo tomará as seguintes ações:

Nota: As principais exchanges, fornecedores de wallets e mineiros com quem estamos em comunicação já estão protegidos contra tal ataque.

Impacto: Se uma transação de ataque é executada com sucesso, então somente os usuários que executam clientes vulneráveis ​​que aceitaram a transação em seu mempool serão vulneráveis. Aceitar a transação de um invasor com um cliente antigo pode fazer com que o cliente Zcash seja afetado.

Contexto técnico: A Zcash, como o Bitcoin, atribui uma prioridade às transações para decidir se elas devem ser aceitas no mempool de um nó. Na prática, o volume de transações atual para Zcash é suficientemente baixo que isso raramente tem um efeito, mas o mecanismo ainda está ativado. No Zcash 1.0.4, foi feita uma alteração nesse cálculo para aumentar a prioridade das transações blindadas. No entanto, um erro neste código pode - em circunstâncias que são normalmente raras, mas pode ser forçado por um invasor - resultar em um acesso à memória fora dos limites, o que causa uma falha de segmentação.

Anúncios de Followup:

Agradecimentos

A Zcash Company gostaria de agradecer a Juliano Rizzo da Coinspect e @movcrx do projeto Zclassic por colaborarem conosco na análise e mitigação desta questão.

Security Announcement, security, bugs | Veja todas as tags