您好!刚知道Zcash吗?
Zcash网络很年轻,但发展迅速! 注册以后我们将与您联系告知有关如何开始使用Zcash的更多信息!

语言

Zcash 审计结果

Maureen Walsh and Nathan Wilcox | Oct 27, 2016

做为一个关注安全并且由世界级精英组成的团队,我们把 Zcash 用户的安全放在第一位。真正的安全在于直接授权给用户,为了实现这个目标,我们将持续地披露我们发现的安全漏洞(当我们确认这些披露将不会伤害我们的当前用户的前提下),并描述我们如何修复或计划如何修复这些问题。

在即将发布 Zcash 区块链之际,为了保持这样的价值观,与用户分享受委托审计工作的所有细节是非常重要的。

安全扼要重述

为了提供来龙去脉,在今年 4 月,我们强调了一些安全漏洞 ,这些都是我们团队发现并已经修复的漏洞。在今年 8 月,我们宣布我们与两支顶尖的安全审计团队的合作, 我们将在这篇博文中公布我们关于安全的审计结果 [1]

我们在网站上维护了一个 安全页面 ,用来发布最新的 Zcash 安全信息。我们同样在每一次发布版本时,维持更新了 安全警告 文档。

安全审计

今天,我们发布了外部审计委员会对于我们代码的最终审计报告。我们对所发现的问题进行了分类,并处理了我们认为严重的问题(例如:可能导致用户隐私泄露,资产丢失,破坏共识等等)。

此外,我们与 Bitcoin Core 的核心开发者保持着沟通,保证在我们代码库(我们的代码库基于 Bitcoin Core v0.11.2)中发现的问题,不会导致比特币用户由潜在的问题。我们同样把提醒发送给了 Bitcoin Unlimited, Bitcoin XTBitcoin Classic 的核心开发者们。我们并没有与实用 Bitcoin Core 代码库的其它开发者们有过沟通。

每一个审计员都准备了关于他们工作和发现的报告。这些报告都在网站上有所呈现。在此,我们将这些报告的链接列出,我们的问题跟踪人员会跟踪审计工作和他们的总结:

NCC Group

报告链接 URL: https://www.nccgroup.trust/us/our-research/zcash-cryptography-and-code-review/?research=Public+Reports

Zcash 问题跟踪: NCC 的发现

他们的总结:

"NCC Group 执行了审阅 Zcash 密码学货币实现的两部分目标。第一部分,由密码学服务组执行,专注于验证 Zcash 协议说明文档和 Zcash 的实现方案。一项关于在密码学实现领域寻找安全漏洞的调查同样在进行。第二部分是使用静态、动态和模糊测试,来审阅 Zcash C++ 源代码的缺陷。这部分审阅同样包括对函数库粗略的评估和对 Zcash 软件安全实践的提升建议。

NCC Group 发现了一个问题,这个问题将允许对手篡改 Zcash 后台使用的,用于验证的秘要。同时有一些 C++ 的代码错误将导致堆栈的缓冲区溢出,数据竞争,内存被占用,内存泄露和其它潜在的开发中有关运行时间的错误。除此之外,第三方开源代码库的附属物被验证,认为已经过期。最终,NCC Group 在测试期间(2016年8月8日-2016年9月2日)并没有发现任何可能损害 Zcash 区块链或是破坏安全交易的严重问题。"

Coinspect

报告链接 URL: https://coinspect.com/doc/CoinspectReportZcash2016.pdf

他们的公告: https://coinspect.com/zcash-security-audit-results

Zcash 问题跟踪: Coinspect 的发现

他们的总结:

“Coinspect 审阅了 Zcash 基于 Bitcoin Core 开源代码的创新,并着重于评估它作为密码学货币对特定威胁的抵抗性能。Coinspect 在审阅过程中发现了 Zcash p2p 网络的存在一些高危和中危漏洞。所发现的安全问题是当前版本不支持远程之行代码也不允许攻击者窃取资产或破坏 Zcash 用户的隐私。然而,我们发现可开发的 51% 攻击 和使用最小资源进行隔离攻击。

对于 Coinspect 来说,能够为密码学货币的安全性做贡献,并为这个异常优秀的团队和项目服务是非常荣幸的。

结论

我们鉴定地为我们的用户和社区服务,其中最好的方式之一是我们提供透明性。 Zcash 依然处于初期,它即是新的又有实验性;我们鼓励用户自己学习 Zcash 协议和网络相关的危险因素。

请加入 Zcash 研发这和社区,在 我们的 Slack论坛 中进行交流。

[1]我们的博客同样 阐述了我们与 Solar Designer 的合作. Solar Designer 是分析我们 Equihash 工作量证明系统的伙伴。我们在这篇博文中专注于安全审计和解决问题,我们将在以后的博文中对 Equihash 进行分析。