- Ein Komodo Entwickler hat einen kritischen Bug im Quellcode von Zcash (ZEC) entdeckt.
- Durch diesen sind die Geodaten jeder abgeschirmten Adresse (zaddr), zusammen mit den Daten des zugehörigen Nodes potentiell in Gefahr.
Duke Leto, ein Core-Entwickler des Komodo (KMD)-Projekts hat einen sehr kritischen Fehler innerhalb des Source Code von Zcash (ZEC) entdeckt. In einem Blog-Beitrag legte Leto einen Bug offen, der es Angreifern unter bestimmten Umständen ermöglicht, die Geodaten von Full Nodes zusammen mit den abgeschirmten Adressen („shielded adresses“) zu erlangen. Der Fehler im Quellcode von Zcash soll bereits seit der Einführung von ZEC bestehen, wodurch auch alle Forks von Zcash betroffen sind.
Da die Geolokalisierungsdaten mit der IP-Adresse des Nutzer und damit mit zaddr verbunden sind, sind die Geodaten jeder abgeschirmten Adresse (zaddr), zusammen mit den zugehörigen Node potentiell in Gefahr. Wenn zum Beispiel „A“ eine zaddr an „B“ übermittelt, um ihn zu bezahlen, könnte „B“ die IP-Adresse und damit die Geodatenvon „A“ ermitteln. Dies verstößt grundlegend gegen das anonyme Design von Privacy Coins, wie Zcash oder Monero (XMR). In dem Blog-Beitrag schreibt Leto einleitend (frei übersetzt):
Seit der Einführung von Zcash und des Zcash-Protokolls existiert ein Fehler für alle geschützten Adressen. Es ist in allen Zcash-Source-Code Forks enthalten. Es ist möglich, die IP-Adresse von Full Nodes zu finden, die eine shielded adress („zaddr“) besitzen. Das heißt, Alice, die Bob eine zu bezahlende zaddr gibt, könnte es Bob tatsächlich ermöglichen, die IP-Adresse von Alice zu ermitteln. Dies verstößt drastisch gegen das Design des Zcash-Protokolls.
Laut Leto sind alle Personen betroffen, die zaddr verwenden und die zaddr mit Drittanbietern geteilt haben. Dies ist unter anderem dann der Fall, wenn die zaddr öffentlich auf Social Media, in einem Bugreport auf GitHub geteilt wurde oder wenn der Nutzer die zaddr jemals einer Börse oder einem Mining-Pool gegeben hat. Hingegen sind Nutzer nicht von dem Bug betroffen, wenn sie noch nie eine zaddr benutzt ode ZEC nur an andere zaddr geschickt haben, aber keine ZEC erhalten haben. Außerdem sind Nutzer auch nicht betroffen, wenn die sie Tor oder Tails verwendet haben.
Leto schreibt, dass zur Verfolgung des Problems bereits ein CVE-Code (Common Vulnerabilities and Exposures) in Arbeit ist. Des Weiteren hat Leto eine Liste von Kryptowährungen, Forks von Zcash erstellt, die mit einem ähnlichen Problem konfrontiert sind. Die Liste enthält unter anderem ZClassic, Safecoin, Horizen, BitcoinZ, LitecoinZ, Bitcoin Private und Anon. Leto weist auch darauf hin, dass Komodo die Funktion der geschützten Adressen bereits vor längerer Zeit deaktiviert hat und damit nicht betroffen ist.
Was können Zcash Nutzer tun?
Leto schreibt, dass der einfachste Weg ist, um den Metadaten-Leak zu verhindern, die Verwendung von Tor ist. Außerdem können Zcash Nutzer eine neue wallet.dat mit einer neuen zaddr erstellen und dann alle Gelder an diese neue Adresse senden. Wenn ein Benutzer die neue zaddr privat hält, ist sie vor dem Metadaten-Leak geschützt.
