Partager cet article
L'audit de Zcash ne révèle aucun problème sérieux de sécurité lors de la cérémonie de lancement
Un nouvel audit de la cérémonie complexe et controversée de génération de clés Zcash a révélé que toute compromission sérieuse de la sécurité était peu probable.
Par Morgen Peck
Faites de nous votre source préférée sur Google
En préparation du lancement de la Cryptomonnaie axée sur la confidentialité, Zcash, les développeurs du projet ont organisé une cérémonie élaborée.
Ce n’est pas une mince affaire, les procédures détermineraient non seulement la viabilité et la sécurité de l’ensemble du réseau, mais nécessiteraient la coordination de six participants.six emplacements dans le monde– tous ceux qui devaient être en contact direct pour garantir un résultat positif.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto Daybook Americas aujourd. Voir toutes les newsletters
Sur la liste de discussion, cependant, un nom se démarquait : « Moïse ».
À la fin de la cérémonie, il a été révélé que le propriétaire de ce pseudonyme était en réalité Derek Hinch. Consultant à Austin pour la société de sécurité NCC, Hinch avait été engagé pour célébrer la cérémonie comme prévu et pour l'attaquer avec toute son énergie.
Aujourd'hui, NCCenfin publié un rapport sur les efforts de Hinch – et ses résultats peuvent être encourageants pour les utilisateurs de Zcash qui nourrissaient des soupçons sur la naissance de la Cryptomonnaie, désormais la dix-huitième plus grande au monde en termes de valeur marchande.
Hinch rapporte notamment n'avoir obtenu qu'un succès mitigé lors d'une attaque contre la mémoire de l'ordinateur de test sous son contrôle, une réplique modifiée de ONE utilisé pour la cérémonie. Il est convaincu que la même attaque n'aurait pas pu être menée sur l'ordinateur qui contenait des informations sensibles le jour de la cérémonie.
En bref, selon Hinch, la cérémonie a été un succès :
« En ce qui concerne la garantie que les débris de déchets toxiques ont été générés en toute sécurité puis éliminés correctement, ce qui était le point crucial de la cérémonie, je peux dire avec certitude que cela s'est produit de notre côté. »
Attaques ratées
En prenant du recul, « déchet toxique » est un terme que les développeurs de Zcash ont inventé pour désigner les six fragments de la clé privée unique qui devaient être combinés et intégrés au protocole de la crypto-monnaie.
Si quelqu'un parvenait à obtenir une copie complète de tous les fragments, il pourrait créer subrepticement de fausses cryptomonnaies, une attaque difficile à détecter compte tenu de l'anonymat des transactions Zcash . Pour sécuriser le produit final, la clé privée complète a donc été décomposée en six fragments, chacun généré à un endroit différent. Ils ont ensuite été combinés par une série de calculs, dont aucun ne nécessitait la présentation des fragments de clé, lesquels sont restés sur des ordinateurs isolés, sans connexion réseau.
À son poste, Hinch disposait de deux configurations informatiques : ONEune abritait le fragment de clé privée utilisé lors de la cérémonie, tandis que l'autre suivait les mêmes instructions, mais servait à tester une série d'attaques. Zcash lui donnait un accès root à la machine ainsi que des mots de passe lui permettant de désactiver certaines protections de sécurité d'une couche du logiciel appelée grsec.
Malgré ces informations d'identification, les attaques de Hinch ont été déjouées et il n'a pas réussi à récupérer à distance les déchets toxiques présents sur l'ordinateur.
Mais Hinch a eu un peu plus de succès avec une attaque physique contre la mémoire.
Grâce à une carte Firewire insérée dans la machine de test avant le début de la cérémonie, il a pu extraire 2,2 gigaoctets des 8 Go au total de la machine, dont aucun ne contenait le fragment de clé privée.
De plus, Hinch affirme que la même attaque n'aurait pas pu être menée contre l'ordinateur qu'il utilisait lors de la cérémonie. Pour y parvenir, il aurait fallu modifier physiquement l'ordinateur, qui se trouvait dans un lieu sécurisé et sous surveillance vidéo constante.
Le NCC a examiné les images de sécurité de la cérémonie et a vérifié qu'aucune effraction n'avait eu lieu.
« Cet ordinateur était aussi sécurisé que possible », déclare Hinch.
Réessayer
Néanmoins, Hinch avait des recommandations à faire si une cérémonie similaire était organisée à l'avenir.
Pour commencer, il estime qu'il serait préférable de créer un inventaire complet du contenu de chaque ordinateur sur lequel des déchets toxiques sont stockés pour s'assurer qu'il n'existe aucun chemin physique vers la mémoire, comme la carte Firewire fournie.
La cérémonie de génération de clés Zcash a été conçue pour être sécurisée tant qu'une station parvenait à générer et à supprimer son Secret avant qu'un attaquant ne puisse le voler. D'autres participants ont depuis partagé leurs méthodes de sécurisation de leurs stations.
Dans un blog répondant au rapport du NCC, les développeurs de Zcash soulignent que, même s'il reste impossible de prouver que le processus était sécurisé, l'analyse fournit une forte indication que la cérémonie s'est déroulée sans problème et que la sécurité fondamentale de Coinbase est intacte.
Cependant, comme cela T peut être connu avec certitude, ces résultats doivent simplement être interprétés comme fournissant des garanties supplémentaires contre tout compromis.
Déclaration de transparence:CoinDesk est une filiale de Digital Currency Group, qui détient une participation dans Zcash Company.
Image d'un trousseau de clésvia Shutterstock
Plus pour vous
Pudgy Penguins is building a multi-vertical consumer IP platform — combining phygital products, games, NFTs and PENGU to monetize culture at scale.
Ce qu'il:
Pudgy Penguins is emerging as one of the strongest NFT-native brands of this cycle, shifting from speculative “digital luxury goods” into a multi-vertical consumer IP platform. Its strategy is to acquire users through mainstream channels first; toys, retail partnerships and viral media, then onboard them into Web3 through games, NFTs and the PENGU token.
The ecosystem now spans phygital products (> $13M retail sales and >1M units sold), games and experiences (Pudgy Party surpassed 500k downloads in two weeks), and a widely distributed token (airdropped to 6M+ wallets). While the market is currently pricing Pudgy at a premium relative to traditional IP peers, sustained success depends on execution across retail expansion, gaming adoption and deeper token utility.
More For You
XRP lié à Ripple chute de 5 %, ouvrant un risque de baisse vers 1,70 $
Les traders surveillent le niveau de 1,80 $ comme support à court terme, avec la zone de résistance clé désormais située entre 1,87 $ et 1,90 $.
What to know:
- XRP a chuté d'environ 5 % passant de 1,91 $ à près de 1,80 $ alors que le repli du bitcoin a provoqué une vente généralisée de tokens à haut bêta dans un contexte de fuite vers la sécurité.
- La baisse s’est accélérée une fois que le XRP a franchi à la baisse le support clé autour de 1,87 $ sur un volume élevé, effaçant les gains de la semaine dernière avant que les acheteurs n’interviennent près de la zone 1,78–1,80 $.
- Les traders considèrent désormais 1,80 $ comme un niveau de support crucial, un mouvement soutenu au-dessus d’environ 1,87–1,90 $ étant nécessaire pour signaler un recul correctif plutôt que le début d’une baisse plus profonde.
À la une
