Walang Nahanap na Seryosong Isyu ang Zcash Audit sa Seguridad ng Seremonya ng Paglulunsad

Bilang paghahanda para sa paglulunsad ng privacy-centric Cryptocurrency, Zcash, nagsagawa ang mga developer ng proyekto ng isang detalyadong seremonya.

Walang maliit na tagumpay, matutukoy ng mga paglilitis hindi lamang ang posibilidad at seguridad ng buong network, ngunit nangangailangan ng koordinasyon ng anim na kalahok sa anim na lokasyon sa buong mundo – lahat sila ay kailangang direktang makipag-ugnayan upang matiyak ang isang matagumpay na resulta.

Sa listahan ng chat, gayunpaman, ONE pangalan ang lumabas: "Moises."

Nang matapos ang seremonya, napag-alaman na ang may-ari ng sagisag na ito ay, sa katunayan, si Derek Hinch. Isang consultant sa Austin kasama ang security firm na NCC, si Hinch ay tinanggap upang parehong isagawa ang seremonya ayon sa nilalayon at upang atakihin ito kasama ang lahat ng mayroon siya.

Ngayon, NCC sa wakas ay nai-publish isang ulat sa mga pagsisikap ni Hinch – at ang kanyang mga resulta ay maaaring nakapagpapatibay sa mga gumagamit ng Zcash na nagtatago ng mga hinala tungkol sa pagsilang ng Cryptocurrency, na ngayon ay ang ikalabing walong pinakamalaking sa mundo ayon sa halaga ng merkado.

Kapansin-pansin, ang ulat ni Hinch ay may kaunting tagumpay lamang sa isang pag-atake sa memorya ng test computer sa ilalim ng kanyang kontrol, isang binagong replika ng ONE na ginamit para sa seremonya. At siya ay tiwala na ang parehong pag-atake ay hindi maaaring gawin sa computer na aktwal na may hawak na sensitibong impormasyon sa araw ng seremonya.

Sa madaling salita, ayon kay Hinch, ang seremonya ay isang tagumpay:

"Kung tungkol sa pag-insure na ang mga toxic waste shards ay ligtas na nabuo at pagkatapos ay itinapon ng maayos, na siyang pinakabuod ng seremonya, masasabi kong may katiyakan na nangyari sa aming pagtatapos."

Mga nabigong pag-atake

Sa pagtalikod, ang "nakakalason na basura" ay isang termino na nilikha ng mga developer ng Zcash upang tukuyin ang anim na shards ng nag-iisang pribadong key na kailangang pagsamahin at ilagay sa protocol ng cryptocurrency.

Kung ang isang tao ay kukuha ng kumpletong kopya ng lahat ng mga shards, ito ay magbibigay-daan sa kanila na palihim na lumikha ng mga pekeng barya, isang pag-atake na mahirap matukoy dahil sa hindi pagkakakilanlan ng mga transaksyong Zcash . Kaya, upang ma-secure ang huling produkto, ang buong pribadong key ay pinaghiwa-hiwalay sa anim na piraso, bawat isa ay nabuo sa ibang lokasyon. Pagkatapos ay pinagsama ang mga ito sa pamamagitan ng isang serye ng mga pagkalkula, wala sa mga ito ay nangangailangan ng pagtatanghal ng mga key shards, na nanatili sa mga nakahiwalay na computer na walang kakayahan sa network.

Sa kanyang istasyon, si Hinch ay may dalawang pag-setup ng computer: ang ONE ay nagtatago ng aktwal na pribadong key shard na ginamit sa seremonya, habang ang isa ay sumunod sa lahat ng parehong mga tagubilin ngunit ginamit upang subukan ang isang serye ng mga pag-atake. Binigyan Zcash si Hinch ng root access sa makina pati na rin ang mga password na nagbigay-daan sa kanya na hindi paganahin ang ilan sa mga proteksyon sa seguridad sa isang layer ng software na tinatawag na grsec.

Kahit na may mga kredensyal na ito, gayunpaman, ang mga pag-atake ni Hinch ay napigilan at nabigo siyang malayuang makuha ang nakakalason na basura sa computer.

Ngunit si Hinch ay nagkaroon ng bahagyang mas tagumpay sa isang pisikal na pag-atake laban sa memorya.

Sa pamamagitan ng firewire card na ipinasok sa test machine bago magsimula ang seremonya, nakapag-extract siya ng 2.2 gigabytes ng kabuuang 8GB sa machine, wala sa mga ito ang naglalaman ng private key shard.

Dagdag pa, sinabi ni Hinch na ang parehong pag-atake ay hindi maaaring gawin laban sa computer na aktwal niyang ginagamit sa seremonya. Upang makuha ito, kailangang pisikal na baguhin ng isang tao ang computer, na nasa isang ligtas na lokasyon sa ilalim ng patuloy na pagmamasid sa video.

Sinuri ng NCC ang security footage ng seremonya at na-verify na walang naganap na break-in.

"Ang computer na iyon ay kasing secure ng makukuha mo," sabi ni Hinch.

Sinusubukang muli

Gayunpaman, may mga rekomendasyon si Hinch kung ang isang katulad na seremonya ay isasagawa sa hinaharap.

Bilang panimula, naniniwala siyang pinakamahusay na lumikha ng kumpletong imbentaryo ng mga nilalaman ng bawat computer kung saan naka-imbak ang nakakalason na basura upang matiyak na walang mga pisikal na ruta sa memorya, tulad ng ibinigay na firewire card.

Ang Zcash key generation ceremony ay idinisenyo upang maging secure hangga't ang isang istasyon ay matagumpay na nakabuo at na-dispose ang Secret nito bago ito nakawin ng isang attacker. Ibinahagi ng ibang mga kalahok ang kanilang mga pamamaraan para sa pag-secure ng kanilang mga istasyon.

Sa isang blog na tumutugon sa ulat ng NCC, itinuro ng mga developer ng Zcash na, habang nananatiling imposibleng patunayan na ligtas ang proseso, ang pagsusuri ay nagbibigay ng isang malakas na indikasyon na ang seremonya ay naging maayos at ang pangunahing seguridad ng coinbase ay buo.

Gayunpaman, dahil T ito tiyak na malalaman, ang mga resultang ito ay pinakamahusay na basahin bilang nagbibigay ng mga karagdagang katiyakan laban sa kompromiso.

Disclosure:Ang CoinDesk ay isang subsidiary ng Digital Currency Group, na mayroong stake ng pagmamay-ari sa Zcash Company.

Ring ng mga susi na imahe sa pamamagitan ng Shutterstock