Команда экспертов из Саарландского университета и университета Эрлангена—Нюрнберга в Германии выявила уязвимости в протоколе Zerocoin и два недостатка безопасности в библиотеке libzerocoin, из-за которых мошенники могут блокировать транзакции пользователей и добывать несуществующие монеты. Эксперты утверждают, что эти ошибки обнаружены как минимум в пяти криптовалютах, использующих протокол Zerocoin, а именно: SmartCash, Zoin, Zcoin, Hexxcoin и PIVX.
Опасность ошибки протокола заключается в том, что мошенники, имея доступ к сети владельца монеты, могут заблокировать транзакцию, использовать серийный номер монеты, оправляемый в сеть владельцем, сгенерировать новую монету и присвоить ей украденный таким образом серийный номер. После чего владелец получает отказ в транзакции, поскольку монета с таким серийным номером уже была использована и сеть распознает такую транзакцию как "двойную трату ".
Непосредственным результатом такой ошибки стало то, что все токены, добытые по протоколу Zerocoin, застревали в кошельках пользователей. Три из пяти монет, PIVX, SmartCash и Hexxcoin, отключили этот протокол внутри их соответствующего исходного кода для шифрования, после обнаружения этой проблемы. Команда SmartCash сообщила исследователям, что она намерена вернуть средства владельцам неизрасходованных монет, в то время как команды Hexxcoin и PIVX заявили, что снова будут поддерживать Zerocoin после исправления ошибки.
Монеты Zoin and Zcoin продолжают быть уязвимыми, и эксперты рекомендуют пользователям не тратить их до тех пор, пока ошибка протокола не будет исправлена, несмотря на то, что такую атаку нелегко совершить, поскольку мошенникам необходимо иметь доступ к сети пользователя, чтобы совершить перехват законной транзакции.
Помимо проблем в самом протоколе, эксперты также обнаружили две ошибки в программной библиотеке libzerocoin. Одна из них позволяет злоумышленнику генерировать новые монеты, а вторая допускает неправильное подписание транзакции библиотекой.
Все три проблемы не являются неожиданными, поскольку протокол Zerocoin и библиотека libzerocoin много лет не использовались. Протокол Zerocoin был заменен протоколом Zerocash, который сейчас используется Zcash, а библиотека libzerocoin изначально содержала предупреждение о недостаточной безопасности в своем файле README, которые также попали в Zoin, Zcoin, SmartCash и Hexxacoin.
Пользователи не должны инвестировать в устаревшие технологии, считают эксперты, и не должны использовать библиотеки, которые содержат предупреждения о недостаточной безопасности.
По материалам https://www.bleepingcomputer.com
Читайте также
IOHK выпустили "самое значимое обновление" Cardano 1.4
18 декабря вышла новая версия Cardano 1.4, которую представители организации называют “самым значимым обновлением”. По их словам, это обновление значительно повысит надежность сети и решит некоторые проблемы с подключением.
Tron и Qtum — конкуренты Ethereum
Блогер из Нью-Йорка заявил, что Tron и Qtum являются основными конкурентами Ethereum. По его словам, децентрализованные приложения и смарт-контракты на их блокчейнах превзойдут Ethereum.