Уязвимость в сети ZCash могла привести к утечке IP-адресов пользователей

В протоколе приватной криптовалюты ZCash обнаружена уязвимость, которая позволяет раскрыть IP-адреса пользователей. Ошибку нашел Джонатан Лето — один из разработчиков криптовалюты Komodo, которая использует кодовую базу ZCash. Об этом он написал в своем блоге.

Лето заявил, что ошибка в коде присутствует с самого момента создания ZCash. Уязвимость также содержится в большинстве ее форков. Лето опубликовал «неисчерпывающий список» затронутых криптовалют:

«Можно найти IP-адрес полной ноды, которой принадлежит экранированный адрес (zaddr). То есть, Алиса, давая Бобу zaddr, на который должна поступить оплата, фактически позволяет ему узнать свой реальный IP-адрес», — пишет разработчик.

Пользователям, которые используют экранированные адреса только для отправления средств, беспокоиться не о чем. Касается это и тех, кто не использовал zaddr вовсе. Помимо этого, вне зоны риска находятся те, кто использует браузер Tor или операционную систему TAILS — они скрывают реальный IP-адрес. 

Лето советует всем пользователям ZCash и его форков создать кошелек на базе файла wallet.data и перевести на него токены с уязвимого адреса. Он отмечает, что следует всеми силами избегать публичного раскрытия адреса. Для этого Лето рекомендует отключить полные ноды до выхода нового патча.

Пользователи Reddit отмечают, что проблему уже устранили в обновлении 2.0.7-3, которое было выпущено еще в прошлый вторник. Разработчик ZCash —  Electric Coin Company — узнал об уязвимости 13 сентября.

reddit

Electric Coin Company настоятельно рекомендует всем пользователям обновить свои ноды и прекратить использование более старых версий. Компания пообещала опубликовать подробную информацию об уязвимости немного позднее.

← Назад Поделиться:

Рекомендации

Разработчики ZCash представили новую версию конфиденциального криптопротокола

24 дня назадAртем Галунoв3 мин
Сингапурская криптобиржа Liquid провела делистинг ZCash, Monero и еще 27 токенов

Процедура делистинга проведена в рамках усилий по получению лицензии от Денежно-кредитного управления Сингапура. Некоторые токены могут вернуться в листинг после того, как стоящие за их разработкой компании достигнут соглашения с местным регулятором.

2 месяца назадAртем Галунoв3 мин