Quantstamp hat eine technische Post-Mortem-Analyse des Zcash-Fehlers veröffentlicht, der es ermöglichte, dass ein Fälschungs-Bug etwa vier Jahre lang im Orchard-Privacy-Pool unentdeckt blieb, bevor er diesen Monat behoben wurde. Die Sicherheitsfirma erklärte, das Problem hätte einem Angreifer ermöglichen können, geschützte ZEC zu prägen, die durch normale Transaktionsüberwachung schwer, wenn nicht gar unmöglich, zu entdecken gewesen wären.
Der Fehler ist von Bedeutung, da Orchard der wichtigste geschützte Pool von Zcash ist, in den Nutzer Coins auf ein privates Guthaben verschieben, das Transaktionsdetails vor der Öffentlichkeit verbirgt. Wenn dort unbemerkt Coins erstellt werden können, leidet die Glaubwürdigkeit des Datenschutzsystems, auch wenn das Problem inzwischen behoben wurde. Für ein auf Privatsphäre ausgerichtetes Asset wie ZEC ist dies keine kleine technische Randnotiz. Es geht um das Vertrauen in das Ledger selbst.
Die Analyse von Quantstamp beschreibt, wie der Fehler mehrere Audits unbemerkt passierte – eine Erinnerung daran, dass selbst intensiv geprüfter Krypto-Code langlebige Grenzfälle verbergen kann. Die Firma gab nicht an, dass der Fehler aktiv in großem Umfang ausgenutzt wurde, aber die Existenz eines Weges zur unentdeckbaren Prägung reicht aus, um Fragen zu früheren geschützten Aktivitäten und zu den Grenzen der nachträglichen Erkennung in privaten Systemen aufzuwerfen.
Laut dem Quellenmaterial haben die Zcash-Entwickler das Problem Anfang dieses Monats behoben, aber die Offenlegung kommt für die Inhaber dennoch zu einem ungünstigen Zeitpunkt. Sicherheitsnachrichten rund um Privacy Coins können die Stimmung schnell belasten, insbesondere wenn die Schwachstelle die Angebotsseite betrifft und nicht nur einen einfachen Wallet- oder Interface-Bug. Händler neigen dazu, sich weniger für den Code selbst zu interessieren als für die Möglichkeit einer versteckten Inflation, auch wenn dieses Risiko nun beseitigt ist.
Die nächsten zu beobachtenden Punkte sind die formelle Nachverfolgung des Projekts, weitere Untersuchungen, ob geschützte Guthaben betroffen waren, und ob Börsen oder Verwahrer ihre Handhabung von ZEC-Ein- und Auszahlungen ändern. Wenn die Community zu dem Schluss kommt, dass das Problem vor einem breiten Missbrauch eingedämmt wurde, könnte der Markt zur Tagesordnung übergehen. Sollten neue Beweise zeigen, dass der Fehler ausgenutzt wurde oder dass weitere Bereiche des geschützten Pools überprüft werden müssen, könnte ZEC unter Druck bleiben.
Zcash-Privacy-Pool hatte vier Jahre lang einen Fälschungs-Bug
Ein versteckter Fehler im privaten Saldensystem von Zcash ermöglichte die unbemerkte Erstellung gefälschter Coins, was das Vertrauen der Nutzer in die Transaktionsprivatsphäre beeinträchtigte. Der Fehler wurde diesen Monat behoben, wirft aber Bedenken hinsichtlich unentdeckter Fälschungen in der Vergangenheit und der Sicherheit von Datenschutzfunktionen auf.