Share this article
BTC
$93,889.47
+
0.18%ETH
$1,769.61
-
1.46%USDT
$1.0004
+
0.01%XRP
$2.2075
-
0.54%BNB
$602.15
-
0.59%SOL
$152.54
+
0.96%USDC
$0.9999
+
0.01%DOGE
$0.1827
+
2.20%ADA
$0.7214
+
3.40%TRX
$0.2455
-
0.30%SUI
$3.3357
+
12.42%LINK
$15.06
+
0.25%AVAX
$22.36
+
0.07%XLM
$0.2804
+
5.25%LEO
$9.2425
+
1.29%SHIB
$0.0₄1376
+
1.38%TON
$3.1857
+
0.12%HBAR
$0.1878
+
4.06%BCH
$356.41
-
0.55%LTC
$84.40
+
1.34%Iscrizione
- Torna al menu
- Torna al menuPrezzi
- Torna al menuRicerca
- Torna al menu
- Torna al menu
- Torna al menu
- Torna al menu
- Torna al menuWebinar ed Eventi
L'audit Zcash non rileva problemi seri nella sicurezza della cerimonia di lancio
Un nuovo audit della complessa e controversa cerimonia di generazione delle chiavi Zcash ha rilevato che era improbabile che si verificassero gravi compromissioni della sicurezza.
In preparazione al lancio della Criptovaluta incentrata sulla privacy, Zcash, gli sviluppatori del progetto hanno eseguito una cerimonia elaborata.
Non si tratta di un'impresa da poco, poiché il procedimento determinerebbe non solo la fattibilità e la sicurezza dell'intera rete, ma richiederebbe anche il coordinamento di sei partecipanti insei sedi in tutto il mondo– tutti quanti dovevano essere in contatto diretto per garantire un esito positivo.
STORY CONTINUES BELOW
Nella chat list, però, spiccava ONE nome: "Moses".
Quando la cerimonia si concluse, si scoprì che il proprietario di questo pseudonimo era, in effetti, Derek Hinch. Consulente ad Austin presso la società di sicurezza NCC, Hinch era stato assunto sia per eseguire la cerimonia come previsto, sia per attaccarla con tutte le sue forze.
Oggi, NCCfinalmente pubblicato un resoconto degli sforzi di Hinch e i suoi risultati potrebbero essere incoraggianti per gli utenti Zcash che nutrivano sospetti sulla nascita della Criptovaluta, ora la diciottesima più grande al mondo per valore di mercato.
In particolare, Hinch riferisce di aver avuto solo un successo minimo con un attacco alla memoria del computer di prova sotto il suo controllo, una replica alterata di ONE effettivamente utilizzato per la cerimonia. Ed è sicuro che lo stesso attacco non avrebbe potuto essere eseguito sul computer che in realtà conteneva informazioni sensibili il giorno della cerimonia.
In breve, secondo Hinch, la cerimonia è stata un successo:
"Per quanto riguarda la garanzia che i frammenti di rifiuti tossici fossero generati in modo sicuro e poi smaltiti correttamente, che è stato il fulcro della cerimonia, posso dire con certezza che è stato fatto da parte nostra."
Attacchi falliti
Facendo un passo indietro, "rifiuti tossici" è un termine coniato dagli sviluppatori Zcash per riferirsi ai sei frammenti dell'unica chiave privata che dovevano essere combinati e integrati nel protocollo della criptovaluta.
Se qualcuno mettesse le mani su una copia completa di tutti gli shard, potrebbe creare di nascosto monete contraffatte, un attacco che sarebbe difficile da rilevare data l'anonimato delle transazioni Zcash . Quindi, per proteggere il prodotto finale, la chiave privata completa è stata suddivisa in sei parti, ciascuna generata in una posizione diversa. Sono state quindi combinate tramite una serie di calcoli, nessuno dei quali ha richiesto la presentazione degli shard della chiave, che sono rimasti su computer isolati senza capacità di rete.
Alla sua postazione, Hinch aveva due configurazioni di computer: ONE ospitava l'effettivo frammento di chiave privata utilizzato nella cerimonia, mentre l'altra seguiva tutte le stesse istruzioni ma veniva utilizzata per provare una serie di attacchi. Zcash diede a Hinch l'accesso root alla macchina e anche delle password che gli consentirono di disattivare alcune delle protezioni di sicurezza in uno strato del software chiamato grsec.
Nonostante queste credenziali, però, gli attacchi di Hinch furono sventati e non riuscì ad accedere neanche lontanamente ai rifiuti tossici presenti sul computer.
Ma Hinch ebbe un successo leggermente maggiore con un attacco fisico contro la memoria.
Tramite una scheda firewire inserita nel computer di prova prima dell'inizio della cerimonia, è riuscito a estrarre 2,2 gigabyte degli 8 GB totali presenti sul computer, nessuno dei quali conteneva il frammento della chiave privata.
Inoltre, Hinch afferma che lo stesso attacco non avrebbe potuto essere effettuato contro il computer che stava effettivamente utilizzando nella cerimonia. Per riuscirci, qualcuno avrebbe dovuto alterare fisicamente il computer, che si trovava in un luogo sicuro sotto costante osservazione video.
L'NCC ha esaminato i filmati di sicurezza della cerimonia e ha verificato che non si sono verificate effrazioni.
"Quel computer era il massimo della sicurezza", afferma Hinch.
Riprovando
Ciononostante, Hinch ha avanzato delle raccomandazioni nel caso in cui in futuro si dovesse svolgere una cerimonia simile.
Per prima cosa, ritiene che sarebbe meglio creare un inventario completo del contenuto di ogni computer su cui sono archiviati rifiuti tossici, per assicurarsi che non vi siano percorsi fisici verso la memoria, come la scheda firewire in dotazione.
La cerimonia di generazione delle chiavi Zcash è stata progettata per essere sicura a patto che una singola stazione generasse e smaltisse con successo il suo Secret prima che un aggressore potesse rubarlo. Da allora, altri partecipanti hanno condiviso i loro metodi per proteggere le loro stazioni.
In un blog in risposta al rapporto dell'NCC, gli sviluppatori Zcash sottolineano che, sebbene sia ancora impossibile dimostrare che il processo sia stato sicuro, l'analisi fornisce una forte indicazione che la cerimonia si è svolta senza intoppi e che la sicurezza fondamentale del coinbase è intatta.
Tuttavia, poiché T è possibile saperlo con certezza, è meglio leggere questi risultati semplicemente come una garanzia aggiuntiva contro i compromessi.
Dichiarazione informativa:CoinDesk è una sussidiaria di Digital Currency Group, che detiene una quota di proprietà di Zcash Company.
Immagine dell'anello di chiavitramite Shutterstock
