Команда экспертов из Саарландского университета и университета Эрлангена—Нюрнберга в Германии выявила уязвимости в протоколе Zerocoin и два недостатка безопасности в библиотеке libzerocoin, из-за которых мошенники могут блокировать транзакции пользователей и добывать несуществующие монеты. Эксперты утверждают, что эти ошибки обнаружены как минимум в пяти криптовалютах, использующих протокол Zerocoin, а именно: SmartCash, Zoin, Zcoin, Hexxcoin и PIVX.

Опасность ошибки протокола заключается в том, что мошенники, имея доступ к сети владельца монеты, могут заблокировать транзакцию, использовать серийный номер монеты, оправляемый в сеть владельцем, сгенерировать новую монету и присвоить ей украденный таким образом серийный номер. После чего владелец получает отказ в транзакции, поскольку монета с таким серийным номером уже была использована и сеть распознает такую транзакцию как "двойную трату ".

Непосредственным результатом такой ошибки стало то, что все токены, добытые по протоколу Zerocoin, застревали в кошельках пользователей. Три из пяти монет, PIVX, SmartCash и Hexxcoin, отключили этот протокол внутри их соответствующего исходного кода для шифрования, после обнаружения этой проблемы. Команда SmartCash сообщила исследователям, что она намерена вернуть средства владельцам неизрасходованных монет, в то время как команды Hexxcoin и PIVX заявили, что снова будут поддерживать Zerocoin после исправления ошибки.

Монеты Zoin and Zcoin продолжают быть уязвимыми, и эксперты рекомендуют пользователям не тратить их до тех пор, пока ошибка протокола не будет исправлена, несмотря на то, что такую атаку нелегко совершить, поскольку мошенникам необходимо иметь доступ к сети пользователя, чтобы совершить перехват законной транзакции.

Помимо проблем в самом протоколе, эксперты также обнаружили две ошибки в программной библиотеке libzerocoin. Одна из них позволяет злоумышленнику генерировать новые монеты, а вторая допускает неправильное подписание транзакции библиотекой.

Все три проблемы не являются неожиданными, поскольку протокол Zerocoin и библиотека libzerocoin много лет не использовались. Протокол Zerocoin был заменен протоколом Zerocash, который сейчас используется Zcash, а библиотека libzerocoin изначально содержала предупреждение о недостаточной безопасности в своем файле README, которые также попали в Zoin, Zcoin, SmartCash и Hexxacoin.

Пользователи не должны инвестировать в устаревшие технологии, считают эксперты, и не должны использовать библиотеки, которые содержат предупреждения о недостаточной безопасности.

По материалам https://www.bleepingcomputer.com