zcash

Zcash: Un Bug Permettait de Créer de la Fausse Cryptomonnaie

Les développeurs de la cryptomonnaie Zcash ont récemment découvert et patché une dangereuse vulnérabilité qui permettait à une personne mal intentionnée de créer un nombre infini de Zcash (ZEC).

Lancé en Octobre 2016, Zcash est une cryptomonnaie qui se dit plus anonyme que Bitcoin. Avec Zcash, l’expéditeur, le récepteur et la valeur de la transaction reste caché.

Dans un article de blog publié hier, Zerocoin Electric Coin Company—la startup derrière Zcash—a révélé qu’un employé, Ariel Gabizon, a découvert la vulnérabilité le 1er Mars 2018.

Gabizon a contacté Sean Bowe, le cryptographe de Zcash, immédiatement après avoir découvert la faille de contrefaçon. Ils ont décidé de garder cela secret pour éviter que des personnes mal intentionnées ne cherchent à exploiter cette faille.

Selon la compagnie, seulement 4 employés Zcash étaient au courant du problème avant qu’il ne soit réglé le 28 Octobre 2018.

Les employés de la compagnie ont expliqué que “découvrir cette vulnérabilité requiert un bon niveau de sophistication technique et cryptographique que très peu de gens possèdent,” c’est la raison pour laquelle il pense que personne d’autre n’était au courant pour cette faille et qu’il n’y a pas eu de contrefaçon impliquant Zcash.

La team Zcash a détaillé cette vulnérabilité sur son site officiel pour informer le grand public.

Détails de la Vulnérabilité Zcash

Selon la team, la faille de contrefaçon se trouvait dans la variante de zk-SNARKs, une implémentation de cryptographie zero-knowledge que Zcash utilise pour chiffrer et protéger les transactions.

Les blockchains de Komodo et Horizen (anciennement connu sous le nom de ZenCash) ont souffert du même problème et l’ont apparemment fixé après avoir été notifié en Novembre 2018.

La vulnérabilité était le résultat d’un “algorithme de paramétrage” qui permettait de tromper une vérification et de transformer “la preuve d’une déclaration en preuve qui semble valide pour une autre déclaration.”

N’importe qui ayant accès à la transcription de cérémonie du calcul multipartite (MPC), utilisé pour installer les fonctionnalités de protection de données de Zcash, aurait été capable de créer des fausses preuves. Ils auraient donc le pouvoir de créer un nombre illimité de monnaie protégé.

Les développeurs n’ont trouvé aucune preuve que la vulnérabilité avait été exploité mais ils ont confirmé qu’elle existait depuis plusieurs années.

“La vulnérabilité existant pendant plusieurs années mais n’a jamais été découverte par les nombreux experts en cryptographie, scientifiques, les réviseurs tiers et les équipes d’ingénieur tiers qui ont travaillé avec le code,” a déclaré la compagnie.

Zcash est privé donc même si quelqu’un avait contrefait de la cryptomonnaie par le passé, il n’y a aucun moyen de le découvrir. Cependant, ils ont argumenté qu’ils ont “étudié la blockchain pour chercher des preuves d’exploitations: Une attaque aurait laissé des empreintes. Nous n’avons trouvé aucune empreinte.”

Les patchs de cette vulnérabilité ont été implémenté dans une mise à jour en Octobre 2018, et certains, comme l’ancien agent de la NSA devenu dénonciateur, Edward Snowden, ont applaudi comme l’équipe a géré cette vulnérabilité.

Laisser un commentaire