您好!刚知道Zcash吗?
Zcash网络很年轻,但发展迅速! 注册以后我们将与您联系告知有关如何开始使用Zcash的更多信息!

语言

安全声明 2016-11-22

Nathan Wilcox | Nov 22, 2016

Synopsis: 是一个使缓存无效的 bug,它将允许攻击者触发一个分叉链,并将使用 pre-1.0.3 的节点跟随无效链。关于这个 bug 的修复办法已经被实施在 zcashd release 1.0.3

ZcashCo,和一些交易所,钱包供应商和矿工已经实施了一些缓和措施,比如检索攻击者节点。但目前没有攻击者被发现。

谁面临风险: 只有以下两种情况同时满足的用户才会面临风险:

  1. 他们使用比 1.0.3 更老的 zcashd 版本,其中包括 1.0.0,1.0.1 和 1.0.2, 与此同时
  2. 一个全网级别的攻击,用于触发一跳分叉链。这将需要大量矿工来运行受到侵害的软件。

用户如果使用第三方服务,需要讯问这些服务是否可以解决以上问题。我们已经和主要的交易所,钱包供应商和矿工合作,他们已经在他们所提供的服务中缓解了这个问题。

谁不会受到危害: 以下用户,只需要满足*其中之一*就可以免受危害:

  1. 他们已经升级了 zcashd 1.0.3,或者他们使用的服务已经完成了升级。亦或是
  2. 没有全网范围的攻击成功进行(比如,已经有足够比例的矿工完成了减轻危险的防范措施)。

换句话说:个人和服务只要进行了版本升级,就会受到保护。只要有足够多的矿工进行了升级,整个网络就会自然受到保护。

当前可能存在风险的用户如何对自身进行保护?

  1. 升级 zcashd release 1.0.3 使最可靠的保护措施。
  2. 使用第三方服务的用户(比如交易所,钱包和矿池),请查看你们的服务是否发布更新了升级 zcashd 1.0.3 版本的公告。如果没有,请考虑暂停使用他们的服务,直到他们发布声明说升级完成。

我如何发现攻击是否发生? ZcashCo 和一些大型交易所,钱包供应商和矿工已经使用了传感器用来测试是否有攻击者发起攻击。当一个攻击事件被发觉后,ZcashCo 将做出如下行动:

注释: 我们已经跟主要交易所,钱包供应商和矿工建立了联系来为抵御这次攻击的威胁。

影响: 如果 一个全网范围的攻击成功启动(这样做需要大量易受攻击的挖矿算力),这时*只有*使用易受攻击客户端的用户会去跟踪一条无效的分叉链。在分叉链上的交易将会随着更多的矿工升级到新版本后被回滚。

技术背景: 由于一项缓存无效的 bug,在 Zcash 网络中的一些节点将会特意将无效的交易认为有效[#]_。如果大量的网络算力接受无效交易为有效,将会创造出一条分叉链。

跟踪我们的公告:

[1]请注意,交易的有效性是被我们的协议规范所确定的,Zcash 协议规范, v2016.0-beta-1.10; 这次的安全漏洞毋庸置疑是一次实现上的错误。