Zcash взвешивает новый защищенный пул после обнаружения подделки
Разработчики и исследователи Zcash обсуждают, может ли новый защищенный пул помочь восстановить надежность проверки поставок после недавно исправленной уязвимости Orchard.
Shielded Labs, независимая швейцарская организация поддержки Zcash, заявила в пятницу в обновлении безопасности, что изучает предлагаемое обновление сети, которое развернет новый защищенный пул и обеспечит «турникетный учет» монет, перемещаемых из Orchard, давая пользователям более понятный способ проверки целостности средств, выводимых из пула.
Группа заявила, что это предложение все еще подлежит дальнейшему объяснению и рассмотрению сообществом. Shielded Labs заявила, что планирует опубликовать следующий пост на следующей неделе, объясняющий, как будет работать обновление и какие компромиссы оно может повлечь за собой.
Основатель Zcash Open Development Lab (ZODL) Джош Свихарт заявил в отдельном посте X, что второй пул Orchard, в принципе, может быть нацелен на обновление Zcash NU7 в конце июля. Однако он сказал, что не занимает фиксированной позиции в отношении того, следует ли сообществу строить второй бассейн Orchard.
Обсуждение последовало за экстренным обновлением Zcash, которое исправило уязвимость Orchard, по словам Shielded Labs, которая могла позволить использовать поддельный $ZEC в пуле, хотя предыдущая эксплуатация маловероятна.
Cointelegraph обратился к ZODL, команде Zcash и Shielded Labs за комментариями, но не получил ответа от публикации.
Источник: Джош Свихарт.
$ZEC упал после раскрытия уязвимости
В обновлении безопасности Shielded Labs заявила, что уязвимость Orchard могла позволить злоумышленнику создать неограниченное количество поддельных $ZEC в пуле Orchard. Группа заявила, что не существует криптографического способа доказать, использовалась ли ошибка до того, как она была исправлена, хотя она считает, что предыдущая эксплуатация маловероятна.
Как сообщил Cointelegraph в среду, разработчики Zcash временно приостановили транзакции Orchard после обнаружения уязвимости и восстановили функциональность посредством аварийного обновления сети.
По данным CoinGecko, в пятницу $ZEC упал примерно на 50% с дневного максимума в $550,30 до $264,80 после того, как команда публично раскрыла уязвимость. На момент написания токен восстановился до $308,07, что все еще резко ниже пятничного максимума.
24-часовой график цен токена Zcash. Источник: CoinGecko
В то время как рынок рухнул, некоторые члены сообщества выступили в защиту реакции команды на инцидент. Джастин Бонс, основатель и директор по инвестициям CyberCapital, сказал, что рынок слишком остро отреагировал, потому что ошибка была исправлена, и «хорошие парни заметили ее первыми».
Соучредитель Gemini Кэмерон Уинклвосс заявил, что это открытие отражает инвестиции Zcash в исследователей безопасности, а не повод для тревоги, утверждая, что ошибки неизбежны в сетях первого уровня и что ключевой вопрос заключается в том, смогут ли команды найти и исправить их до того, как это сделают злоумышленники.
Формальная проверка входит в дискуссию по безопасности
Инцидент возобновил дискуссию вокруг формальной проверки — метода, который использует математические доказательства для проверки того, соответствуют ли программное обеспечение или криптографические схемы предполагаемым спецификациям.
Разработчик Zcash и исследователь криптографии Шон Боу сказал, что экранированные протоколы обеспечивают конфиденциальность, полагаясь на криптографические предположения для сохранения целостности поставок. Он сказал, что долгосрочный ответ заключается в том, чтобы сделать защищенные протоколы и их реализации формально проверяемыми.
Свихарт поддержал эту точку зрения, заявив, что уязвимость Orchard была ошибкой в написанных вручную правилах схемы, а не в базовой криптографии. Он сказал, что формальная проверка может свести человеческий анализ к краткой спецификации и позволить компьютерам проверять, соответствует ли схема этим правилам.
Вэй Дай, исследовательский партнер венчурной блокчейн-фирмы 1kx, также сказал в посте X, что ошибка схемы Orchard казалась «очевидной в ретроспективе», но ее не заметили прилежные разработчики протоколов, криптографы и аудиторы. Он сказал, что расширение охвата официальной проверкой является «вероятно единственным долгосрочным решением».