Một lỗ hổng mà có thể khiến kẻ tấn công làm giả một lượng Zcash (ZEC) vô hạn đã được phát hiện và vá thành công bởi đội ngũ phát triển đứng sau Zcash, theo một bài blog đăng tải ngày 05/02.
- Chưa hết tháng 1, EOS đã phát hiện được 5 lỗ hổng hệ thống nghiêm trọng
- Chính phủ Hoa Kỳ bắt tay vào theo dấu những đồng coin “ẩn danh” như Monero, Zcash
Ariel Gabizon, lập trình viên tại Zerocoin Electric Coin Company – startup đứng đằng sau đồng tiền điện tử ẩn danh Zcash – đã phát hiện lỗ hổng này vào tháng 03/2018 trong zk-SNARKs, công nghệ mã hoá tối tân được altcoin này sử dụng để che giấu danh tính người dùng và giao dịch.
Để tránh việc bị kẻ xấu lợi dụng, đội ngũ Zcash đã quyết định giữ bí mật phát hiện của mình, âm thầm xây dựng một bản vá và đính kèm nó vào đợt nâng cấp mạng lưới ZEC mang tên Sapling hồi tháng 10 năm ngoái. Bài blog hôm 05/02 chính là lần đầu tiên lỗ hổng này được thông báo đến cộng đồng người dùng.
Theo lí giải của Zcash, nếu bị sử dụng thì lỗi kia có thể giúp kẻ tấn công tạo nên một số lượng token ZEC mới vô hạn.
Bài blog giải thích:
“Trước khi được vá thì một kẻ tấn công đã có thể lợi dụng lỗ hổng này để tạo nên Zcash giả mà không bị phát hiện. Lỗi làm giả đã được khắc phục và người dùng Zcash sẽ không cần phải làm gì cả.”
Bởi vì zk-SNARKs vẫn quá tối tân, đã không ít người chỉ trích Zcash vì sử dụng công nghệ này quá sớm (Zcash đến nay vẫn là đồng tiền điện tử lớn duy nhất tích hợp loại mã hoá ấy). Bên cạnh đó, bởi vì bản chất bảo mật và ẩn danh của ZEC, cũng sẽ rất khó để biết đâu là đồng coin bị làm giả.
Mặc dù vậy, đội ngũ Zcash cho rằng đồng tiền này đã không còn bị đe doạ bởi lỗi trên vì một số nguyên nhân, trong đó có việc “phải cần một trình độ kỹ thuật và mã hoá học rất cao thì mới có thể phát hiện và tận dụng nó”.
Chưa hết, Zcash còn cảnh báo đến một số đồng coin khác sử dụng zk-SNARKs, trong đó có Horizen (tên cũ là ZenCash) và Komodo, chuyển cho họ “tác động cũng như hướng khắc phục”. Bài viết tuyên bố là “cả Horizen và Komodo đều đã có những thay đổi phù hợp với tư vấn từ phía chúng tôi”.
Một số nhân vật cũng đã lên tiếng ca ngợi cách Zcash đã giải quyết vấn đề trên, bao gồm cả “người thổi còi” Edward Snowden. Anh đã tweet:
A lot of people wonder why I like #Zcash despite the Founder’s Reward. Here’s a reason: that tax funds a quality team that catches and kills serious bugs in-house, before they get exploited. Some other projects learn about bugs like this only AFTER people have lost money. https://t.co/i9MD1CpeNx
— Edward Snowden (@Snowden) 5 tháng 2, 2019
“Không ít người hỏi vì sao tôi lại thích Zcash. Đây là lí do: đội ngũ đằng sau đồng tiền ấy đã bắt được và xử lí gọn gàng một lỗi vô cùng lớn trong bộ mã của mình trước khi nó bị sử dụng. Những dự án khác thì chỉ biết về những lỗ hổng như thế này sau khi người ta đã mất tiền.”
Theo CoinDesk
Zcash là một đồng tiền điện tử mã nguồn mở, không cần cho phép đầu tiên mà có thể bảo vệ quyền riêng tư của các giao dịch bằng cách sử dụng mã hóa không tiết lộ thông tin. Tất cả các giao dịch Zcash đều được để công khai trong cuốn sổ cái (blockchain công khai), nhưng thông tin người nhận, gửi và lượng giao dịch có thể để được “ẩn danh”. Tên giao dịch của đồng Zcash là ZEC, tuy nhiên ZEC không thật sự đúng với tiêu chuẩn đặt tên mã tiền tệ ISO 4217.
