- Un développeur de Komodo a découvert un bug critique dans le code source de Zcash (ZEC).
- Ceci pourrait potentiellement mettre en danger les géodonnées de chaque adresse shielded (zaddr), ainsi que les données du nœud complet associé.
Duke Leto, développeur principal du projet Komodo (KMD), a découvert un bug très critique dans le code source de Zcash (ZEC). Dans un billet de blog, Leto a révélé un bogue qui permet aux attaquants d’obtenir des géodonnées à partir de nœuds complets ainsi que des adresses protégées dans certaines circonstances. Le bogue dans le code source de Zcash existerait depuis l’introduction de ZEC, ce qui signifie que toutes les forks Zcash sont également affectées.
Comme les données de géolocalisation sont liées à l’adresse IP de l’utilisateur et donc à la zaddr, les géodonnées de chaque adresse shielded (zaddr), ainsi que son nœud associé, sont potentiellement à risque. Par exemple, si « A » transmet un zaddr à « B » pour le payer, « B » pourrait déterminer l’adresse IP et donc les géodonnées de « A ». Cela viole fondamentalement le design anonyme des pièces de monnaie confidentielles telles que Zcash ou Monero (XMR). Dans le billet du blog, Leto écrit un texte préliminaire (traduit librement) :
Depuis l’introduction de Zcash et du protocole Zcash, une erreur existe pour toutes les adresses protégées. Il est inclus dans toutes les forks de code source Zcash. Il est possible de trouver l’adresse IP des nœuds complets qui ont une adresse shielded (« zaddr »). En d’autres termes, le fait qu’Alice donne à Bob un zaddr payable pourrait en fait permettre à Bob de trouver l’adresse IP d’Alice. Cela viole radicalement la conception du protocole Zcash.
Selon Leto, toutes les personnes qui utilisent zaddr et ont partagé zaddr avec des tiers sont concernées. C’est le cas, par exemple, si la zaddr a été partagée publiquement sur les médias sociaux, dans un rapport de bogue sur GitHub, ou si l’utilisateur a déjà donné la zaddr à un échange ou un pool minier. Les utilisateurs, par contre, ne sont pas affectés par le bogue s’ils n’ont jamais utilisé un zaddr ou n’ont envoyé qu’une ZEC à d’autres, mais n’ont pas reçu de ZEC. De plus, les utilisateurs ne sont pas affectés s’ils ont utilisé Tor ou Tails.
Leto écrit qu’un code CVE (Common Vulnerabilities and Exposures) est déjà en cours pour suivre le problème. Leto a également créé une liste de crypto-monnaies, forks by Zcash, qui font face à un problème similaire. La liste comprend ZClassic, Safecoin, Horizen, BitcoinZ, LitecoinZ, Bitcoin Private et Anon, entre autres. Leto souligne également que Komodo a depuis longtemps désactivé la fonction des adresses shielded et n’est donc pas affecté.
Que peuvent faire les utilisateurs de Zcash ?
Leto écrit que la façon la plus simple de prévenir la fuite des métadonnées est d’utiliser Tor. De plus, les utilisateurs de Zcash peuvent créer un nouveau wallet.dat avec un nouveau zaddr et ensuite envoyer tous les fonds à cette nouvelle adresse. Si un utilisateur garde la nouvelle zaddr privée, elle est protégée contre la fuite des métadonnées.
