Отмечается, что уязвимость присутствовала в кодовой базе ZCash с момента ее создания, поэтому ошибка содержится в большинстве форков этой криптовалюты.
В протоколе приватной криптовалюты ZCash обнаружена уязвимость, которая позволяет раскрыть IP-адреса пользователей. Ошибку нашел Джонатан Лето — один из разработчиков криптовалюты Komodo, которая использует кодовую базу ZCash. Об этом он написал в своем блоге.
Лето заявил, что ошибка в коде присутствует с самого момента создания ZCash. Уязвимость также содержится в большинстве ее форков. Лето опубликовал «неисчерпывающий список» затронутых криптовалют:
«МОЖНО НАЙТИ IP-АДРЕС ПОЛНОЙ НОДЫ, КОТОРОЙ ПРИНАДЛЕЖИТ ЭКРАНИРОВАННЫЙ АДРЕС (ZADDR). ТО ЕСТЬ, АЛИСА, ДАВАЯ БОБУ ZADDR, НА КОТОРЫЙ ДОЛЖНА ПОСТУПИТЬ ОПЛАТА, ФАКТИЧЕСКИ ПОЗВОЛЯЕТ ЕМУ УЗНАТЬ СВОЙ РЕАЛЬНЫЙ IP-АДРЕС», — ПИШЕТ РАЗРАБОТЧИК.
Пользователям, которые используют экранированные адреса только для отправления средств, беспокоиться не о чем. Касается это и тех, кто не использовал zaddr вовсе. Помимо этого, вне зоны риска находятся те, кто использует браузер Tor или операционную систему TAILS — они скрывают реальный IP-адрес.
Лето советует всем пользователям ZCash и его форков создать кошелек на базе файла wallet.data и перевести на него токены с уязвимого адреса. Он отмечает, что следует всеми силами избегать публичного раскрытия адреса. Для этого Лето рекомендует отключить полные ноды до выхода нового патча.
Пользователи Reddit отмечают, что проблему уже устранили в обновлении 2.0.7-3, которое было выпущено еще в прошлый вторник. Разработчик ZCash — Electric Coin Company — узнал об уязвимости 13 сентября.
Electric Coin Company настоятельно рекомендует всем пользователям обновить свои ноды и прекратить использование более старых версий. Компания пообещала опубликовать подробную информацию об уязвимости немного позднее.
