Zcash erwägt neuen abgeschirmten Pool nach Fälschu...

Zcash-Entwickler und -Forscher diskutieren darüber, ob ein neuer abgeschirmter Pool nach einer kürzlich behobenen Orchard-Schwachstelle dazu beitragen könnte, das Vertrauen in die Angebotsüberprüfung wiederherzustellen.

Shielded Labs, eine unabhängige Zcash-Unterstützungsorganisation mit Sitz in der Schweiz, sagte am Freitag in einem Sicherheitsupdate, dass sie ein vorgeschlagenes Netzwerk-Upgrade prüft, das einen neuen abgeschirmten Pool bereitstellen und eine „Drehkreuzbuchhaltung“ für Münzen erzwingen würde, die von Orchard bewegt werden, was den Benutzern eine klarere Möglichkeit bietet, die Integrität der aus dem Pool bewegten Gelder zu überprüfen.

Die Gruppe sagte, der Vorschlag bedarf noch weiterer Erläuterungen und einer Überprüfung durch die Gemeinschaft. Shielded Labs sagte, dass es plant, nächste Woche einen Folgebeitrag zu veröffentlichen, in dem erklärt wird, wie das Upgrade funktionieren würde und welche Kompromisse es mit sich bringen könnte.

Josh Swihart, Gründer des Zcash Open Development Lab (ZODL), sagte in einem separaten X-Beitrag, dass ein zweiter Orchard-Pool grundsätzlich für das NU7-Upgrade von Zcash Ende Juli ins Visier genommen werden könnte. Er sagte jedoch, er vertrete keine feste Position dazu, ob die Gemeinde einen zweiten Orchard-Pool bauen sollte.

Die Diskussion folgt auf ein Notfall-Upgrade von Zcash, das eine Schwachstelle in Orchard behebt. Laut Shielded Labs hätte gefälschtes $ZEC in den Pool gelangen können, obwohl eine vorherige Ausnutzung unwahrscheinlich sei.

Cointelegraph hat ZODL, das Zcash-Team und Shielded Labs um einen Kommentar gebeten, jedoch keine Antwort per Veröffentlichung erhalten.

Quelle: Josh Swihart

$ZEC fällt nach Offenlegung der Sicherheitslücke

Im Sicherheitsupdate sagte Shielded Labs, die Orchard-Schwachstelle hätte es einem Angreifer ermöglichen können, eine unbegrenzte Menge gefälschter $ZEC innerhalb des Orchard-Pools zu erstellen. Die Gruppe sagte, es gebe keine kryptografische Möglichkeit, nachzuweisen, ob der Fehler vor seiner Behebung ausgenutzt wurde, hält eine vorherige Ausnutzung jedoch für unwahrscheinlich.

Wie Cointelegraph am Mittwoch berichtete, haben die Zcash-Entwickler Orchard-Transaktionen vorübergehend ausgesetzt, nachdem sie die Schwachstelle entdeckt hatten, und die Funktionalität durch ein Notfall-Netzwerk-Upgrade wiederhergestellt.

Laut CoinGecko-Daten fiel $ZEC am Freitag um etwa 50 % von einem Tageshoch von 550,30 $ auf bis zu 264,80 $, nachdem das Team die Schwachstelle öffentlich bekannt gegeben hatte. Zum Zeitpunkt des Schreibens hatte sich der Token auf 308,07 US-Dollar erholt, immer noch deutlich unter seinem Freitagshoch.

24-Stunden-Preisdiagramm des Zcash-Tokens. Quelle: CoinGecko

Während der Markt zusammenbrach, verteidigten einige Community-Mitglieder die Reaktion des Teams auf den Vorfall. Justin Bons, Gründer und Chief Investment Officer von CyberCapital, sagte, der Markt habe überreagiert, weil der Fehler behoben worden sei und „die Guten ihn zuerst erkannt hätten“.

Cameron Winklevoss, Mitbegründer von Gemini, sagte, die Entdeckung spiegele Zcashs Investition in Sicherheitsforscher wider und sei kein Grund zur Beunruhigung. Er argumentierte, dass Fehler in Layer-1-Netzwerken unvermeidlich seien und dass die Schlüsselfrage sei, ob Teams sie finden und beheben könnten, bevor Angreifer es tun.

Formale Verifizierung steht im Mittelpunkt der Sicherheitsdebatte

Der Vorfall erneuerte die Diskussion über die formale Verifizierung, eine Methode, die mithilfe mathematischer Beweise überprüft, ob Software oder kryptografische Schaltkreise ihren beabsichtigten Spezifikationen entsprechen.

Zcash-Entwickler und Kryptografieforscher Sean Bowe sagte, dass abgeschirmte Protokolle Privatsphäre bieten, indem sie auf kryptografischen Annahmen basieren, um die Versorgungsintegrität zu wahren. Er sagte, die langfristige Antwort bestehe darin, abgeschirmte Protokolle und ihre Implementierungen formell überprüfbar zu machen.

Swihart bestätigte diese Ansicht und sagte, die Orchard-Schwachstelle sei ein Fehler in den handgeschriebenen Regeln der Schaltung und nicht in der zugrunde liegenden Kryptographie. Er sagte, eine formale Verifizierung könne die menschliche Überprüfung auf eine prägnante Spezifikation reduzieren und es Computern ermöglichen, zu überprüfen, ob die Schaltung diesen Regeln entspricht.

Wei Dai, ein Forschungspartner des Blockchain-Venture-Unternehmens 1kx, sagte in einem X-Beitrag auch, dass der Fehler im Orchard-Schaltkreis „im Nachhinein offensichtlich“ erschien, aber von sorgfältigen Protokolldesignern, Kryptografen und Prüfern übersehen worden sei. Er sagte, die Ausweitung der formellen Überprüfungsabdeckung sei „wahrscheinlich die einzige langfristige Lösung“.