Приветствуем! Впервые на сайте Zcash?
Сеть Zcash пока еще молода, но быстро растет! Регистрируйтесь на сайте, чтобы получить больше информацией о том, как начать пользоваться Zcash!

Язык

Обновления безопасности 2016-11-22

Nathan Wilcox | Nov 22, 2016

Краткое изложение: Ошибка аннулирования кэша может позволить атакующему инициировать ветвление цепочки, и это приведёт к тому, что узлы, не обновившиеся до версии 1.0.3, будут следовать за ошибочной цепочкой. Проблема исправлена в zcashd релизе 1.0.3.

ZcashCo, некоторые биржи, провайдеры кошельков и майнеры уже приняли меры по смягчению последствий такой атаки и её обнаружению. Ни одной атаки обнаружено не было.

Кто подвергается опасности: Опасности подвергаются только те пользователи, которые соответствуют одновременно двум критериям:

#. Они полагаются на zcashd релизы предшествовавшие 1.0.3, включая 1.0.0, 1.0.1, и 1.0.2, И #. Должна быть выполнена атака на всю сеть, чтобы инициировать ветвление цепочки. Это требует от большинства майнеров запуска уязвимого программного обеспечения.

Пользователи, которые полагаются на услуги третьих сторон, должны поинтересоваться у них, как они собираются смягчить эту проблему. Мы сотрудничаем с основными биржами, провайдерами кошельков и майнерами, и они уже обезопасили свои сервисы.

Кто не подвержен риску: Пользователи, которые не соответствуют любым из следующих двух критериев, не находятся в опасности:

  1. они обновились до zcashd 1.0.3, или полагаются на сервис, который это сделал, ИЛИ
  2. не произошло успешной широкой атаки на сеть (например, если существенное количество майнеров смягчило эту уязвимость).

Другими словами: частные лица и сервисы будут защищены сразу, как только обновят своё программное обеспечение, и сеть в целом будет защищена сразу, как только достаточная часть майнеров обновит своё программное обеспечение.

Как подверженные риску пользователи могут себя защитить?

  1. Обновление до zcashd релизе 1.0.3 является самой надежной защитой.
  2. Пользователи сторонних сервисов (таких как биржи, кошельки, майнинговые пулы), проверьте, объявили ли эти сервисы о обновлении программного обеспечения до zcashd 1.0.3. Если этого не сделано, подумайте о приостановке использования сервиса до тех пор, пока они не объявят об обновлении.

Как я могу узнать о происходящей атаке? ZcashCo и некоторые крупные биржи, провайдеры кошельков и майнеры развернули датчики для обнаружения атак на этом направлении. Если атака будет обнаружена, ZcashCo предпримет следующие меры:

Примечание: Основные биржи, провайдеры кошельков и майнеры, с которыми мы находимся на связи, уже защищены от такого нападения.

Влияние: Если сетевая атака будет успешна, (для этого небходимо, чтобы большинство майнинговых мощностей были уязвимыми) тогда только пользователи, которые запускают уязвимые клиенты, будут следовать за ошибочным ветвлением цепочки. Транзакции в этой ветке будут возвращены назад, когда большинство майнеров перейдут на правильную ветку.

Техническое обоснование: Из-за ошибки аннулирования кэша, некоторые узлы в сети Zcash примут недопустимые транзакции как допустимые. [1]. Если большинство хэширующей мощности сети примет недопустимые транзакции, это приведёт к ветвлению цепочки.

Следите за объявлениями:

[1]Заметим, что достоверность транзакций хорошо описана в наших спецификациях протокола, Спецификации протокола Zcash, v2016.0-beta-1.10; Без сомнений, эта проблема безапосности вызвана ошибкой раработчика.