События

Ряд криптовалют подвержены уязвимости отказа в транзакции

Команда исследователей из Саарского университета и Университета Эрлангена-Нюрнберга (Германия) обнаружила уязвимость в протоколе Zerocoin и еще две уязвимости в библиотеке libzerocoin, используемой для создания собственно криптовалюты на базе протокола. Эти уязвимости на том или ином уровне затрагивают как минимум пять криптовалют, созданных на основе Zerocoin (SmartCash, Zoin, Zcoin, Hexxcoin и PIVX).

По данным исследователей, протокол подвержен уязвимости отказа в транзакции (denial-of-spending), позволяющей злоумышленнику приостанавливать осуществляемую жертвой транзакцию и запускать свою. В результате легитимной будет считаться операция злоумышленника, а операция пользователя будет принята как двойное расходования (повторная продажа одних и тех же активов).

Узнав о проблеме, разработчики PIVX, SmartCash и Hexxcoin деактивировали протокол Zerocoin в исходном коде своих криптовалют. В итоге все добытые через Zerocoin монеты «застряли» в кошельках пользователей. Разработчики SmartCash пообещали вернуть своим пользователям замороженные активы, а в PIVX протокол будет снова активирован после исправления уязвимости. Пользователи Zoin и Zcoin по-прежнему под угрозой, поэтому им следует воздержаться от проведения каких-либо транзакций до тех пор, пока не будет выпущено исправление.

Как уже упоминалось выше, исследователи также обнаружили две уязвимости в написанной на C++ PoC-библиотеке libzerocoin для реализации протокола Zerocoin. Одна из них позволяет злоумышленнику генерировать новые монеты, а вторая связана с неправильной подписью транзакций. Уязвимости затрагивают Zcoin, SmartCash, Zoin и Hexxcoin, однако, по словам исследователей, в настоящее время они уже исправлены.

Наличие проблем в libzerocoin и Zerocoin вполне ожидаемо, поскольку и библиотека, и протокол не поддерживаются уже несколько лет. На смену Zerocoin пришел Zerocash, лежащий в основе криптовалюты Zcash, а в libzerocoin уже многие годы есть большой файл README с внушительными уведомлениями безопасности.

Источник

Автор: Сергей Куприянов
20.04.2018 (08:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.