您好!刚知道Zcash吗?
The Zcash network is young, but evolving quickly! Sign up and we'll be in touch with monthly highlights on ecosystem growth, network development and how to get started with Zcash!

语言

安全公告 2017-04-13

Zooko Wilcox & Paige Peterson | Apr 13, 2017

Synopsis: 是一个与交易的优先级相关的 bug,攻击者可以使用它来伪造交易从而使得 Zcash 节点(DoS) 陷入瘫痪。关于这个 bug 的修复办法已经被部署在 zcashd 1.0.8-1 版本。

已经有 分离的版本发布 将所带来的修改进行了汇总。

ZcashCo,和一些交易所,钱包供应商和矿工已经实施了一些缓和措施,比如检索攻击者节点。但目前没有攻击者被发现。

谁正经受风险? 正在使用 1.0.4 到 1.0.8 之间的 zcashd 版本 的用户正在经受着风险。

我们已经和主要的交易所,钱包供应商和矿工合作,他们已经在他们所提供的服务中缓解了这个问题。

谁不会受到危害: 凡是已经将自己的刻划断升级到 zcashd 1.0.8-1 版本的用户或者已经使用了升级过的第三方服务的用户不会收到危害。

当前可能存在风险的用户如何对自身进行保护?

  1. 升级 zcashd 1.0.8-1 使最可靠的保护措施。
  2. 使用第三方服务的用户(比如交易所,钱包和矿池),请查看你们的服务是否发布更新了升级 zcashd 1.0.8-1 版本的公告。

我如何发现攻击是否发生? ZcashCo 和一些大型交易所,钱包供应商和矿工已经使用了传感器用来测试是否有攻击者发起攻击。当一个攻击事件被发觉后,ZcashCo 将做出如下行动:

注释: 我们已经跟主要交易所,钱包供应商和矿工建立了联系来为抵御这次攻击的威胁。

影响 如果 一个攻击交易成功被执行,则 使用有安全漏洞客户端的用户将会把这个伪造的交易接受,并对他们的内存池造成侵害。使用有漏洞的客户端接收攻击者的交易可能造成 Zcash 客户端瘫痪。

技术背景: Zcash,就像是比特币,会指派交易的优先级,目的是决定交易中哪些会被收入节点的内存池。在实践中 Zcash 目前的交易量还比较小,因此这种 bug 并不会造成太坏的影响,但是这个机制仍然可能被激活。在 Zcash 1.0.4 中,一项计算遮蔽交易的优先级算法被加入。然而,由于代码中的错误 -虽然通常发生的概率很低,但是可以被攻击者利用-,会造成界外的内存访问,从而导致分裂错误。

跟踪我们的公告:

鸣谢

Zcash 公司想感谢来自 Coinspect 的 Juliano Rizzo 和来自 Zclassic 项目的 @movcrx,他们帮助我们分析和解决了问题。

Security Announcement, security, bugs | 查看所有标签