นักวิจัย Zcash พบช่องโหว่ในกระบวนการลบร่องรอยเงินทำให้ปั๊มเงินปลอมได้, อุดช่องโหว่ตั้งแต่เดือนตุลาคม

2019-02-07

Zcash Company รายงานถึงช่องโหว่ของกระบวนการ zk-SNARK ที่ใช้ตรวจสอบความถูกต้องของรายการโอนเงินโดยไม่ต้องเปิดเผยยอดเงิน หรือหมายเลขบัญชีต้นทางและปลายทางออกสู่สาธารณะ โดยช่องโหว่นี้พบโดย Ariel Gabizon นักวิทยาการเข้ารหัสลับชอง Zcash Company เอง

zk-SNARK ที่ Zcash ใช้มีการปรับปรุงประสิทธิภาพ และ Gabizon พบช่องโหว่ที่ทำให้แฮกเกอร์สามารถหลอกว่ามีเงินเพิ่มเข้ามาในระบบได้

Gabizon พบช่องโหว่เมื่อวันที่ 1 มีนาคม 2018 แล้วแจ้ง Sean Bowe นักวิทยาการเข้ารหัสลับอีกคนของบริษัทเพื่อตรวจสอบช่องโหว่นี้ เมื่อยืนยันช่องโหว่แล้วจึงแจ้ง Zooko Wilcox ซีอีโอของ Zcash Company ซึ่ง Zooko แจ้ง Nathan Wilcox CTO ของ Zcash Company อีกที ทำให้รวมมีคนรู้ช่องโหว่นี้ 4 คน

การแก้ช่องโหว่ต้องเปลี่ยนพารามิเตอร์ของกระบกวนการเข้ารหัส เพื่อไม่ให้แฮกเกอร์สังเกตความผิดปกติ ทั้งสี่คนจึงตัดสินใจว่าจะเปลี่ยนพารามิตเตอร์ไปพร้อมกับการอัพเกรด Sapling เมื่อเดือนตุลาคมที่ผ่านม การอัพเกรดเครือข่ายผ่านไปได้ด้วยดี และตอนนี้ผู้ใช้ก็ไม่ต้องทำอะไร

บริษัทระบุว่าระหว่างรอการอัพเกรดได้มอเนิเตอร์เครือข่ายและพบว่าไม่มีการโจมตีเพิ่มเงินเข้ามาในระบบแต่อย่างใด โดยทีมงานเชื่อว่าหากมีการโจมตีจริง น่าจะมีร่องรอยอยู่บ้าง

รวมตั้งแต่ช่องพบช่องโหว่จนถึงการรายงานต่อธารณะรวมนานกว่า 11 เดือน

ที่มา – z.cash

No Description

ภาพโดย Marco Verch