- Um desenvolvedor de Komodo descobriu um bug crítico no código fonte do Zcash (ZEC).
- Isso pode potencialmente colocar em perigo a geodata de cada endereço protegido (zaddr), juntamente com os dados do nó completo associado.
Duke Leto, um desenvolvedor principal do projeto Komodo (KMD), descobriu um bug muito crítico dentro do código fonte do Zcash (ZEC). Em um post de blog, Leto revelou um bug que permite que os atacantes obtenham geodados de nós completos junto com endereços protegidos (“shielded adresses”) sob certas circunstâncias. Diz-se que o bug no código fonte do Zcash existe desde que o ZEC foi introduzido, o que significa que todos os forks do Zcash também são afetados.
Como os dados de geolocalização estão ligados ao endereço IP do usuário e, portanto, ao zaddr, a geodata de cada endereço protegido (zaddr), juntamente com seu nó associado, está potencialmente em risco. Por exemplo, se “A” transmite um zaddr para “B” para pagar por ele, “B” poderia determinar o endereço IP e, portanto, os geodados de “A”. Isso viola fundamentalmente o desenho anônimo de moedas de privacidade como Zcash ou Monero (XMR). No post do blog Leto escreve preliminarmente (traduzido livremente):
Desde a introdução do Zcash e do protocolo Zcash existe um erro para todos os endereços protegidos. Ele está incluído em todos os forks do código fonte Zcash. É possível encontrar o endereço IP de nós completos que têm um endereço protegido (“zaddr”). Ou seja, Alice dando a Bob um zaddr pagável pode realmente permitir que Bob encontre o endereço IP de Alice. Isso viola drasticamente o design do protocolo Zcash.
De acordo com Leto, todas as pessoas que usam zaddr e compartilharam zaddr com terceiros são afetadas. Este é o caso, por exemplo, se o zaddr foi compartilhado publicamente em mídias sociais, em um relatório de bug no GitHub, ou se o usuário já deu o zaddr para uma troca ou pool de mineração. Usuários, por outro lado, não são afetados pelo bug se eles nunca usaram um zaddr ou apenas enviaram um ZEC para outros, mas não receberam ZEC. Além disso, os usuários não são afetados se tiverem usado Tor ou Tails.
Leto escreve que um código CVE (Common Vulnerabilities and Exposures) já está em progresso para rastrear o problema. Leto também criou uma lista de criptomoedas, forks by Zcash, que enfrentam um problema semelhante. A lista inclui ZClassic, Safecoin, Horizen, BitcoinZ, LitecoinZ, Bitcoin Private e Anon, entre outros. Leto também aponta que Komodo desativou a função de endereços blindados há muito tempo atrás e, portanto, não é afetado.
O que os usuários de Zcash podem fazer?
Leto escreve que a maneira mais fácil de prevenir o vazamento de metadados é usar o Tor. Além disso, os usuários de Zcash podem criar uma nova wallet.dat com um novo zaddr e, em seguida, enviar todos os fundos para esse novo endereço. Se um usuário mantém o novo zaddr privado, ele é protegido contra o vazamento de metadados.
