匿名币的技术之争是非常有意思的,比如KMD核心开发者DukeLeto刚发表了一篇博客文章,披露了关于Zcash及其多数分叉币存在的漏洞,而这个漏洞可能会泄露使用屏蔽地址的全节点?IP地址。
其还为此分配了一个通用漏洞披露编码CVE-2019-16930来跟踪这一问题。
太长不看:自Zcash和Zcash协议建立以来,所有屏蔽地址都存在着一个漏洞。它出现在所有Zcash源代码分叉中,这使得攻击者可利用它找到拥有屏蔽地址全节点的ip地址。换而言之,如果Alice给Bob一个屏蔽地址用于支付,实际上可允许Bob发现Alice的IP地址,这与Zcash协议的设计是违背的。
受影响的群体:
所有使用屏蔽地址以及与第三方共享屏蔽地址的人,例如:
如果你在社交媒体上公开发布了你的屏蔽地址;
如果你在github/email/IRC的漏洞报告中给出了你的屏蔽地址;
如果你曾把自己的屏蔽地址告诉了交易所、矿池或企业;
如果你曾在一份屏蔽备忘录中回复过你的屏蔽地址;
加密资助平台Gitcoin为Zcash推出2.5万美元资金匹配池:刚刚Zcash官方发推宣布,开源软件资助平台Gitcoin旗下二次资助计划Gitcoin Grants已为Zcash推出了25,000美元的资金匹配池。
注:Gitcoin的二次资助计划模式为用户捐款会获得一定比例的匹配资金,用以资助加密项目。此前6月消息,Zcash已宣布和加密筹款平台Gitcoin合作推进二次资助计划。[2020/10/28]
不受漏洞影响的群体:
如果你从未使用过zaddr,那漏洞就不会影响到你:
如果你只是给其他使用zaddr的人发送过钱,但从未收到过资金,你是安全的;
如果你使用Tor/TAILS,则IP元数据泄漏对攻击者而言就不是有价值的信息。
数据显示:三月ZCash完全屏蔽的交易量相对上月翻倍:4月5日,推特账号为“mineZcash”的用户发文称,根据统计,上个月隐私币ZCash完全屏蔽(z2z)的交易量突破了新高,是上个月的两倍,增长幅度非常显著。 据悉,Zcash使用zk-SNARK零知识证明架构,Zcash提供两种地址:其中t-addresses是透明或非屏蔽的,余额和交易在区块链上公开显示;Z-to-Z(z2z)的交易虽然会在公共区块链上显现,但地址、交易金额和备忘录字段都是加密的,并不公开。[2020/4/5]
受影响的加密货币:
Zcash(ZEC)
Hush(HUSH)
Pirate(ARRR)
所有带有zaddr的Komodo(KMD)智能链(默认启用)
Horizen(ZEN)
Zero(ZER)
VoteCoin(VOT)
Snowgem(XSG)
BitcoinZ(BTCZ)
Zcash资助方案ZIP 1014社区民意调查被质疑参与样本太小:ECC在1月博文中称,关于Zcash改进提案1014的社区民调显示该方案达成共识:77人赞成实施,占87.5%;11人反对,占12.5%。但加密货币领域一些人表示担心,这项民调可能无法准确代表社区的立场。而Zcash基金会公布的数据显示,Zcash社区论坛71名成员在另一项调查中投票,多数人表示支持。区块链公司Jelurida创始人LiorYaffe称,民调系统相当复杂,他怀疑大多数矿工/社区成员无法理解投票结果。他还批评矿工专注于短期利润,而不是项目的长期成功。他建议将PoS投票作为Zcash使用系统的更好替代方案。似乎只有由Zcash基金会管理的Zcash社区咨询小组成员才有权参与该民调。但该组织公关经理SonyaMann称,加入民意调查的申请面向更大的社区,只有两人被拒绝。当被问及此类民调结果是否强制执行时,她声称,矿工最终批准链上任何治理决策,通过选择运行强制执行一套既定共识规则的软件。异议可通过分叉来表达。所以这不是强制性的。据2月报道,ECC与Zcash基金会就ZIP1014达成共识,未来将分配20%挖矿奖励以支持开发。[2020/3/22]
LitecoinZ(LTZ)
动态 | Zcash活跃地址数量已跌至三年最低值:Coin Metrics数据显示,与去年相比,隐私币Zcash的用户似乎已大规模减少。2018年1月,Zcash的活跃地址达到了10万+的历史峰值,此后,这一数字开始逐步下降。起初,下降的速度相当缓慢。然而,自2018年6-7月起,情况发生了巨大变化,该时段间Zcash的活跃地址数量几乎腰斩,此后在2018年的剩余时间,这一趋势仍无法得以扭转。目前活跃的Zcash地址数量约为11218个,这也是自2016年10月以来的最低值。(Decrypt)[2019/12/10]
Zelcash(ZEL)
Ycash(YEC)
Arrow(ARW)
Verus(VRSC)
BitcoinPrivate(BTCP)
ZClassic(ZCL)
Anon(ANON)
需要澄清的是,虽然BitcoinGold(BTG)使用了Zcash提供的EquihashPoW共识机制,但它并不是Zcash源代码的分叉,其也没有使用屏蔽地址,因此它是不受影响的。
动态 | Zcash发布修补程序版本2.0.7-2 修复相关问题以支持Blossom升级:据官方消息,Zcash发布2.0.7-2版本,该版本为2.0.7-1之后的修补程序版本。由于在Zcash进行Blossom升级之前,用户需要升级到2.0.7版本,而很多用户节点由于时间问题暂未升级,或导致其处于错误的链上。为应对该问题,2.0.7-2版本为Zcash测试网添加了“预期倒带”(intended rewind),目的是防止节点在重新连接到正确的链时必须手动重新索引;同时还修复了与Insight Explorer相关的日志记录问题。需要注意的是,2.0.7-2版本与2.0.7版本一样,都将于2019年12月10日暂停支持(失效),与此同时下一个版本v2.1.0将支持Blossom升级,预计升级时间为2019年12月11日。[2019/9/5]
额外的说明:KMD以前也有使用屏蔽地址,但后来禁用了该功能,Safecoin(SAFE)走了一条类似的路线,其目前也禁用了屏蔽地址。
缓解措施
首先,防止这种“元数据泄漏攻击”的首要方法,是在使用你喜欢的加密货币的同时,通过-onlynet=onion使用Tor,或者更好的选择,是使用TAILS操作系统。
其次,用户可使用全新的zaddr创建一个全新的wallet.dat,然后将所有资金发送到该地址。如果用户将这个新的zaddr保持为私有状态,那它就不会受到此类攻击。
Zcash在这里发布了一个紧急源代码(没有二进制文件)。
如果你不希望知道你的zaddr地址的人知道你的IP地址,我建议你创建新的钱包,并在软件发布更新之前停止使用旧钱包。
到这里,普通用户或许可以停止阅读了。
更多的建议
如果你运行了一个支持屏蔽地址的矿池,则不需要提供所有矿工和屏蔽地址的公开列表。由于当前的元数据泄漏攻击和其他原因,这严重地消除了矿工们的隐私。这在过去是很常见的,但由于隐私问题,大多数矿池已经停止了这一做法。
也不要在github的错误报告中给出zaddr!很多工具不断地从所有公共代码存储库中抽取潜在的敏感数据和公开来源信息。
为了提高安全性,如果你必须要给出屏蔽地址,你可以将它们隔离到一个单独的wallet.dat,该wallet.dat通常不使用且保持离线状态,而另一个带有屏蔽地址的钱包可用于发送资金。由于发送资金的钱包从未发出zaddr,因此这种类型的漏洞对于该节点而言是不可被利用的。
代码分析
这个漏洞是在最初的Zcash代码库中被引入的,相关提交时间是在2016年:
“介绍新的“libzcash”zcash协议API和围绕zkSNARK电路的加密结构。”
这一提交将漏洞代码添加到了较旧版本的屏蔽地址,而新版本的屏蔽地址代码都将其复制了进去。
该漏洞存在于Zcash的P2P层中,其中节点会与对等节点交换数据。
对攻击的解释:
攻击者节点将无效交易中继至其对等节点的mempool;
此交易对加密memo字段具有无效的序列化;
没有私钥且没有屏蔽地址查看密钥的节点,通常会对此无效交易做出反应;
具有私钥的节点将生成C++异常;
这个C++异常会导致不同的网络行为,从而暴露节点的“身份”;
区块链或浏览器上没有此类攻击的记录;
修正漏洞的代码在这里:https://github.com/zcash/zcash/commit/c1fbf8ab5d73cff5e1f45236995857c75ba4128d
核心修改如下:
-CDataStreamss(SER_NETWORK,PROTOCOL_VERSION);
-ss<<pt.get();-SaplingNotePlaintextret;-ss>>ret;
+try{
+CDataStreamss(SER_NETWORK,PROTOCOL_VERSION);
+ss<<pt.get();+ss>>ret;
+assert(ss.size()==0);
+}catch(constboost::thread_interrupted&){
+throw;
+}catch(...){
+returnboost::none;
+}
下面这行代码没有try/catch是漏洞存在的核心原因:
ss<<pt.get();
由于
pt是由攻击者控制的数据,其正被写入本地
CDataStreamss对象,因此需要更仔细的处理。
现在我们可以看到,只有boost::thread_interrupted类型的异常冒泡,所以其他异常都被“消灭”了,boost::none则会返回。这使得具有zaddr地址私钥的节点与所有其他节点一样,可以防止元数据泄露。
作者注意到,这里仍然存在寻找旧Sprout地址的易受攻击的代码。
有人可能认为这种攻击只能针对节点的对等节点,而不能针对整个网络,但增加最大对等节点计数是微不足道的,通过一个或几个节点来研究整个网络是可行的。
高级攻击者将拥有一个他们想要连接IP的zaddr数据库,然后运行密集连接至整个网络的节点,并定期向所有对等节点的mempool发送无效交易,从而建立的三元组数据历史记录。然后,他们就可以使用这些数据,并通过数量分析和定时分析将其链接到其他数据,以完全取消屏蔽交易的匿名性,并将它们直接与IP地址和地理位置相绑定。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。