Zerocoin存在协议漏洞,攻击者伪造了低于流通供应量1%的代币

根据我们早先的公告,我们决定披露有关Zerocoin漏洞的更多详细信息,以提供更多有关情况的信息,因为部分细节已经开始在网上出现。

4月9日:我们的警报系统发现了一些异常情况,提示我们有金额为100 XZC的挖坑交易和支出交易的模式“不规范”。在我们调查这个问题并通知交易所的同时,我们立即联系了矿池,以禁用Zerocoin交易。

在同一天,我们通知了PIVX,Veil和Gravity Coin(使用Zerocoin的项目),并告诉他们这些“不规范”的交易,我们建议禁用Zerocoin,直到找到根本原因。

4月16日:我们在博客上发布了一则公告,告知用户Zerocoin已被禁用了。

4月17日:我们向Navcoin(他们在测试网上开发了名为ZeroCT的Zerocoin变种)和NIX披露了一些信息。我们与Veil,PIVX,Navcoin和NIX一起创建了一个私人Slack工作组来寻找这个漏洞。

4月19日:我们的核心开发人员Peter Shugalev找到了问题的根本原因并确认了这是Zerocoin协议所使用的密码学技术的问题,并且它影响了所有基于Zerocoin实现的项目。我们向上述团队披露了Zerocoin零知识证明中存在缺陷的部分,以及伪造是如何在较高水平上工作的。我们还通知了Zerocoin的作者之一Ian Miers,他也向Matthew Green透露了这一消息。

4月24日:我们发布了一个紧急更新,以阻止任何剩余的攻击,披露了攻击是如何对其他项目进行的完整细节,并在私人Slack工作组中概述了一个潜在的修复方法。

我们可以告诉你什么

  • 伪造的代币被铸造,但不超过流通供应量的1%。我们将在Sigma发布时发布有关确切数字的更多详细信息。

  • 这个问题不在于编码错误,而在于自Zerocoin协议诞生以来就存在的一种零知识证明算法中的密码学缺陷。

  • 尽管我们认为Zerocoin可以在足够的时间内得到修复,但我们决定不再投入更多的资源。这符合我们从Zerocoin过渡到Sigma的路线图,Sigma没有可靠的设置,所有证据系统的安全证明,并且它具有更简单的结构和性能优势。

  • 虽然我们认为,只要有足够的时间,Zerocoin是可以修复的,但我们已经决定不再投入更多的资源。这符合我们从Zerocoin到Sigma的过渡路线图,Sigma没有信任配置,它的所有证明系统都有安全证明,而且它的结构更简单,性能也更优越。

一旦其他项目有时间进行自我保护,我们会公布的信息

  • Zerocoin中密码学算法缺陷的完整描述

  • 确切的损失数额(如上所述)

  • 如何恢复已经被伪造出来但尚未花费的代币

下一步

  • 自2018年初以来,Zcoin团队一直致力于用Sigma取代Zerocoin ,我们现在正处于在testnet上发布它的最后阶段。我们的目标是在大约6周内在主网上推出Sigma

  •  Sigma安全性证明完全记录在一个更简单的结构中,便于审计。

  • Sigma的结构不会受到与Zerocoin协议相同的缺陷

  • Sigma删除了可信设置,并将证明大小从25 kB降至1.5 kB

我们之前拒绝做出更广泛的声明,因为:

  • 有些项目仍然很脆弱,如果他们没有sporks,他们就不容易禁用Zerocoin

  • 披露这是一个Zerocoin密码学缺陷,可能给潜在的攻击者提供线索,根据这些来寻找漏洞,以便利用它

  • 一些项目仍在探索是否可以修复Zerocoin。有些人花了很多时间来改进和扩展Zerocoin协议,我们希望在宣布弃用Zerocoin之前给他们时间评估他们的下一步计划

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(zcoin)及本页链接。原文链接 https://zcoin.io/further-disclosure-on-zerocoin-vulnerability/

白帽汇安全研究院转载2019-04-28 12:46:00 zcoin 1826