Команда экспертов из Саарландского университета и университета Эрлангена—Нюрнберга в Германии выявила уязвимости в протоколе Zerocoin и два недостатка безопасности в библиотеке libzerocoin, из-за которых мошенники могут блокировать транзакции пользователей и добывать несуществующие монеты. Эксперты утверждают, что эти ошибки обнаружены как минимум в пяти криптовалютах, использующих протокол Zerocoin, а именно: SmartCash, Zoin, Zcoin, Hexxcoin и PIVX.
Опасность ошибки протокола заключается в том, что мошенники, имея доступ к сети владельца монеты, могут заблокировать транзакцию, использовать серийный номер монеты, оправляемый в сеть владельцем, сгенерировать новую монету и присвоить ей украденный таким образом серийный номер. После чего владелец получает отказ в транзакции, поскольку монета с таким серийным номером уже была использована и сеть распознает такую транзакцию как "двойную трату ".
Непосредственным результатом такой ошибки стало то, что все токены, добытые по протоколу Zerocoin, застревали в кошельках пользователей. Три из пяти монет, PIVX, SmartCash и Hexxcoin, отключили этот протокол внутри их соответствующего исходного кода для шифрования, после обнаружения этой проблемы. Команда SmartCash сообщила исследователям, что она намерена вернуть средства владельцам неизрасходованных монет, в то время как команды Hexxcoin и PIVX заявили, что снова будут поддерживать Zerocoin после исправления ошибки.
Монеты Zoin and Zcoin продолжают быть уязвимыми, и эксперты рекомендуют пользователям не тратить их до тех пор, пока ошибка протокола не будет исправлена, несмотря на то, что такую атаку нелегко совершить, поскольку мошенникам необходимо иметь доступ к сети пользователя, чтобы совершить перехват законной транзакции.
Помимо проблем в самом протоколе, эксперты также обнаружили две ошибки в программной библиотеке libzerocoin. Одна из них позволяет злоумышленнику генерировать новые монеты, а вторая допускает неправильное подписание транзакции библиотекой.
Все три проблемы не являются неожиданными, поскольку протокол Zerocoin и библиотека libzerocoin много лет не использовались. Протокол Zerocoin был заменен протоколом Zerocash, который сейчас используется Zcash, а библиотека libzerocoin изначально содержала предупреждение о недостаточной безопасности в своем файле README, которые также попали в Zoin, Zcoin, SmartCash и Hexxacoin.
Пользователи не должны инвестировать в устаревшие технологии, считают эксперты, и не должны использовать библиотеки, которые содержат предупреждения о недостаточной безопасности.
По материалам https://www.bleepingcomputer.com
Читайте также
Чарльз Хоскинсон опубликовал дорожную карту Cardano на 2022 год
Основатель Cardano рассказал о планах по развитию сети на 2022 год на своем Рождественском стриме.
CipherTrace может положить конец конфиденциальности Monero
CiperTrace обогнала несколько компаний, занимающихся разработкой инструментов, которые позволят регуляторам отслеживать транзакции анонимной криптовалюты Monero.