Приветствуем! Впервые на сайте Zcash?
The Zcash network is young, but evolving quickly! Sign up and we'll be in touch with monthly highlights on ecosystem growth, network development and how to get started with Zcash!

Язык

Результаты аудита Zcash

Maureen Walsh and Nathan Wilcox | Oct 27, 2016

Как команда специалистов по безопасности, собранная из талантов мирового класса, мы ставим на первое место безопасность пользователей Zcash. Настоящая безопасность возможна, когда пользователи имеют максимум полномочий, и чтобы достигнуть этой цели, мы будем раскрывать все найденные уязвимости (как только мы убедимся, что такое раскрытие данных не повредит пользователям), и описывать, как мы устранили уязвимости или намереваемся их устранить.

В соответствии с этими ценностями и с нашим скорым запуском, нам важно поделиться полными деталями проведенных аудитов.

Резюме по безопасности

Чтобы дать контекст, в апреле мы Мы подчеркнули несколько уязвимостей в нашем коде, которые наша команда нашла и исправила. В августе мы объявили о начале работы с двумя ведущими командами по аудиту безопасности, и представляем результаты данных аудитов в этом посте [1].

Мы поддерживаем страницу безопасности на нашем сайте с постоянным обновлением информации о безопасности Zcash. Мы также предоставляем документ с предупреждениями по безопасности для каждого релиза.

Аудиты безопасности

Сегодня мы опубликовали окончательные отчёты от каждого из внешних аудиторов безопасности, с которыми мы заключили контракт этим летом на изучение нашего кода.Мы определили приоритеты для проблем, которые нашли и посчитали серьезными (например, те, которые могут скомпрометировать приватность пользователей, привести к потере средств, нарушить консенсус и так далее... ).

В дополнение к этому, мы поддерживает контакт с разработчиками ядра Биткоина, чтобы гарантировать, что любые результаты, полученные из нашей кодовой базы (которая получена из ядра Биткоина) не представляют существенно риска для пользователей Биткоина. Мы также выслали приватные уведомления разработчикам Биткоин Unlimited, Биткоин XT, и Биткоин классик. Мы не связывались с разработчиками других проектов, основанных на ядре Биткоина.

Каждый из аудиторов представил отчёт о своей работе и найденных уязвимостях. Отчёты находятся на их вебсайтах. Здесь мы предоставили ссылки на эти отчёты, наша система отслеживания ошибок включила в себя результаты работ по аудиту и здесь представлено резюме:

Группа NCC

Ссылка на отчёт: https://www.nccgroup.trust/us/our-research/zcash-cryptography-and-code-review/?research=Public+Reports

Поиск проблем с Zcash: что нашли NCC

Их вывод:

“NCC Group выполнили целевой отчёт из двух частей, который относится к реализации криптовалюты Zcash. Первая часть, подготовленная группой практикующих криптографов, сосредоточилась на проверке допустимости реализации Zcash, придерживаясь протокола реализации Zcash. Также выполнялся поиск ошибок безопасности в криптографической реализации. Вторая часть состояла в изучении C++ исходного кода в поисках уязвимостей, используя статичный и динамический анализ, а также автоматизированное тестирование. Анализ также включал поверхностную оценку подключаемых библиотек и рекомендации для улучшения программного обеспечения Zcash.

NCC Group идентифицировали проблему, которая позволяла атакующему вмешаться в проверку и доказательство ключей, которые осуществляет демон Zcash, а также большое количество ошибок в коде C++, которые могли бы привести к ошибкам переполнения буфера, состоянию гонки, проблемы с использованием памяти после её освобождения, утечкам памяти и другим потенциально приводящим к уязвимостям ошибкам выполнения. Кроме того, большинство, если не все, библиотек, предоставленных третьими лицами, были определены, как устаревшие. Наконец, NCC Group не нашла каких-либо критических ошибок, которые могли бы подорвать целостность блокчейна Zcash, или конфиденциальность транзакций на протяжении времени, когда исследование безопасности проводилось (с 8 августа по 2 сентября 2016 года).”

Coinspect

Ссылка на отчёт: https://coinspect.com/doc/CoinspectReportZcash2016.pdf

Их объявление: https://coinspect.com/zcash-security-audit-results

Поиск проблем с Zcash: Что нашли Coinspect

Их вывод:

“Coinspect рассмотрели инновации Zcash, сравнив их с исходным кодом ядра Биткоина, сосредоточившись на оценке его сопротивления к основным угрозам, с которыми сталкиваются криптовалюты. Coinspect определили проблемы с высоким и средним риском, принимая во внимание производительность и доступность p2p сети Zcash. Были идентифицированы проблемы безопасности, и выяснено, что не возможно удаленное выполнение атакующего кода, а также кража средств или компрометация приватности пользователей Zcash. Однако мы нашли возможности для проведения атаки 51% и атаки изоляции с минимальными ресурсами.

Это честь для Coinspect, способствовать безопасности нашего криптовалютного опыта, сотрудничая с исключительной командой над этим волнующим проектом.”

Вывод

Мы стремимся служить нашим пользователям и сообществу, и один из лучших способов, которым мы можем это сделать, состоит в том, чтобы обеспечить прозрачность. Zcash всё ещё находится на этапе своего рождения, как экспериментальная и новая технология; пользователи должны быть осведомлены о рисках, прежде чем вливаться как участники протокола и сети Zcash.

Приглашаем присоединиться к разработчикам и сообществу на нашем канале Slack и обсуждениях на Форуме.

[1]Наш пост в блоге также описывает нашу совместную работу с Solar Designer, которые занимались нашей системой доказательства работы Equihash. Мы сосредоточились на аудитах безопасности и механизмах безопасности в этом посте, и мы позже разместим пост, посвящённый анализу Equihash.