Zcash屏蔽地址漏洞或揭示全節點IP地址（附解決方案）_CASH

匿名幣的技術之爭是非常有意思的，比如KMD核心開發者DukeLeto剛發表了一篇博客文章，披露了關于Zcash及其多數分叉幣存在的漏洞，而這個漏洞可能會泄露使用屏蔽地址的全節點?IP地址。

其還為此分配了一個通用漏洞披露編碼CVE-2019-16930來跟蹤這一問題。

太長不看：自Zcash和Zcash協議建立以來，所有屏蔽地址都存在著一個漏洞。它出現在所有Zcash源代碼分叉中，這使得攻擊者可利用它找到擁有屏蔽地址全節點的ip地址。換而言之，如果Alice給Bob一個屏蔽地址用于支付，實際上可允許Bob發現Alice的IP地址，這與Zcash協議的設計是違背的。

受影響的群體：

所有使用屏蔽地址以及與第三方共享屏蔽地址的人，例如：

如果你在社交媒體上公開發布了你的屏蔽地址；

如果你在github/email/IRC的漏洞報告中給出了你的屏蔽地址；

如果你曾把自己的屏蔽地址告訴了交易所、礦池或企業；

Liquid正式宣布將Zcash、門羅幣等27種加密資產退市:7月26日消息，日本交易所Liquid昨日正式宣布，自7月24日起，將包括Zcash、門羅幣在內的27種加密資產退市。Liquid首席運營官Seth Melamed表示，這是符合法律規定的必要舉措。據悉，Liquid正在新加坡申請《支付服務法》許可證。在談到反洗錢（AML）和打擊恐怖主義融資（CFT）法規時，Melamed補充說，作為風險管理的一部分，他們必須采取保守的方式來維護代幣的上市，因為監管機構可能認為這些代幣與反洗錢和反恐融資規則以及《資金旅行規則》相沖突。根據官方聲明，退市資產包括SNX、MITH、DRG、WLO、STORJ、WIN、VUU、XNK、PPL、ENJ、AMLT、DENT、FSN、GEN、LND、MITX、SPHTX、MRK、BRC、XMR、NEO、IPSX、ADH、ZEC、IHF、PMA、XLM。此外，聲明指出，其中一些代幣正在與監管機構進行談判，將來可能會重新上市。（Cointelegraph）[2020/7/26]

如果你曾在一份屏蔽備忘錄中回復過你的屏蔽地址；

動態 | ECC與Zcash基金會就新的挖礦獎勵分配方案達成共識:Zcash開發公司Electric Coin Company（ECC）首席執行官Zooko Wilcox發文稱，在進行了部分修改后，ECC已與Zcash基金會就批準Zcash改進提案ZIP 1014達成共識，該項提案將于Zcash第四次網絡升級（NU 4）中激活，預計將在2020年11月16日左右啟動。ZIP 1014改進提案主要涉及新的挖礦獎勵分配方案——未來4年，Zcash挖礦產出的80%將分配給礦工，5%分配給Zcash基金會，7%分配給ECC，8%將分配給獨立的第三方以改進Zcash。Wilcox強調，ECC和Zcash基金會對修訂后的ZIP 1014的共同認可意味著，一旦第四次網絡升級激活，“Zcash”名稱及Logo將只能用于在一致規則中實施ZIP 1014的區塊鏈。（Zcash官方論壇）[2020/2/17]

不受漏洞影響的群體：

如果你從未使用過zaddr，那漏洞就不會影響到你：

如果你只是給其他使用zaddr的人發送過錢，但從未收到過資金，你是安全的；

聲音 | Coinbase聯合創始人：Zcash準備增強網絡安全性，金融安全將使世界變得更好、更自由:據AMBCrypto消息，Coinbase聯合創始人兼首席執行官Brian Armstrong發推表示，“一個可擴展、足夠去中心化、默認支持私密交易的（隱私幣）區塊鏈將會改變游戲規則。” 他認為，加密貨幣應該朝著相同的方向發展，就像從HTTP見證的互聯網一樣，在當前的HTTPS和默認情況下接受的許多其他升級中添加安全因素。 上述推文是關于第二大隱私幣Zcash基金會通過合作推出以增強網絡安全為首要目標的軟件（Zebra Alpha版本）。此外，Zcash背后的ECC公司首席工程師Nathan Wilcox透露，ZCash團隊的目標是到2050年讓100億人能夠訪問該網絡，這可能需要對其基礎設施進行重大改造。 Brian Armstrong意識到有必要擴容，“默認情況下加密貨幣有點難以擴展，但我認為可能。有些人正在努力……” Armstrong進一步表示，每個人“擁有金融隱私將會是一個更好/更自由的世界”。[2019/6/24]

如果你使用Tor/TAILS，則IP元數據泄漏對攻擊者而言就不是有價值的信息。

Zcash即將執行硬分叉:以隱私性能著稱的數字貨幣Zcash或將迎來它的第一次硬分叉，這次分叉被稱為“越冬（Overwinter）”，開發團隊希望為未來更多的大規模升級打下基礎。“越冬（Overwinter）”的目標是在6月份全面實施，是Zcash首個“需要軟件更新”的網絡升級，據官網顯示距離“越冬（Overwinter）”開始還有72天20小時。據悉，3月初Zcash團隊曾宣布將進行首次網絡升級，預計不會出現分叉。[2018/3/27]

受影響的加密貨幣：

Zcash(ZEC)

Hush(HUSH)

Pirate(ARRR)

所有帶有zaddr的Komodo(KMD)智能鏈(默認啟用)

Horizen(ZEN)

Zero(ZER)

黑客攻擊Zcash、ETH和BTC錢包 已竊取15萬美元:過去幾個月，一個黑客團伙利用名叫CryptoShuffler的惡意軟件竊取虛擬貨幣用戶資產。該軟件通過郵件、短信和附件形式感染手機或電腦，當用戶復制粘貼轉賬地址時，該軟件會自動粘貼上黑客的地址，從而實施盜竊。目前已有超15萬美元被這種方式盜取，不翼而飛。[2017/12/3]

VoteCoin(VOT)

Snowgem(XSG)

BitcoinZ(BTCZ)

LitecoinZ(LTZ)

Zelcash(ZEL)

Ycash(YEC)

Arrow(ARW)

Verus(VRSC)

BitcoinPrivate(BTCP)

ZClassic(ZCL)

Anon(ANON)

需要澄清的是，雖然BitcoinGold(BTG)使用了Zcash提供的EquihashPoW共識機制，但它并不是Zcash源代碼的分叉，其也沒有使用屏蔽地址，因此它是不受影響的。

額外的說明：KMD以前也有使用屏蔽地址，但后來禁用了該功能，Safecoin(SAFE)走了一條類似的路線，其目前也禁用了屏蔽地址。

緩解措施

首先，防止這種“元數據泄漏攻擊”的首要方法，是在使用你喜歡的加密貨幣的同時，通過-onlynet=onion使用Tor，或者更好的選擇，是使用TAILS操作系統。

其次，用戶可使用全新的zaddr創建一個全新的wallet.dat，然后將所有資金發送到該地址。如果用戶將這個新的zaddr保持為私有狀態，那它就不會受到此類攻擊。

Zcash在這里發布了一個緊急源代碼(沒有二進制文件)。

如果你不希望知道你的zaddr地址的人知道你的IP地址，我建議你創建新的錢包，并在軟件發布更新之前停止使用舊錢包。

到這里，普通用戶或許可以停止閱讀了。

更多的建議

如果你運行了一個支持屏蔽地址的礦池，則不需要提供所有礦工和屏蔽地址的公開列表。由于當前的元數據泄漏攻擊和其他原因，這嚴重地消除了礦工們的隱私。這在過去是很常見的，但由于隱私問題，大多數礦池已經停止了這一做法。

也不要在github的錯誤報告中給出zaddr！很多工具不斷地從所有公共代碼存儲庫中抽取潛在的敏感數據和公開來源信息。

為了提高安全性，如果你必須要給出屏蔽地址，你可以將它們隔離到一個單獨的wallet.dat，該wallet.dat通常不使用且保持離線狀態，而另一個帶有屏蔽地址的錢包可用于發送資金。由于發送資金的錢包從未發出zaddr，因此這種類型的漏洞對于該節點而言是不可被利用的。

代碼分析

這個漏洞是在最初的Zcash代碼庫中被引入的，相關提交時間是在2016年：

“介紹新的“libzcash”zcash協議API和圍繞zkSNARK電路的加密結構。”

這一提交將漏洞代碼添加到了較舊版本的屏蔽地址，而新版本的屏蔽地址代碼都將其復制了進去。

該漏洞存在于Zcash的P2P層中，其中節點會與對等節點交換數據。

對攻擊的解釋：

攻擊者節點將無效交易中繼至其對等節點的mempool；

此交易對加密memo字段具有無效的序列化；

沒有私鑰且沒有屏蔽地址查看密鑰的節點，通常會對此無效交易做出反應；

具有私鑰的節點將生成C++異常；

這個C++異常會導致不同的網絡行為，從而暴露節點的“身份”；

區塊鏈或瀏覽器上沒有此類攻擊的記錄；

修正漏洞的代碼在這里：https://github.com/zcash/zcash/commit/c1fbf8ab5d73cff5e1f45236995857c75ba4128d

核心修改如下：

-CDataStreamss(SER_NETWORK,PROTOCOL_VERSION);

-ss<<pt.get();-SaplingNotePlaintextret;-ss>>ret;

+try{

+CDataStreamss(SER_NETWORK,PROTOCOL_VERSION);

+ss<<pt.get();+ss>>ret;

+assert(ss.size()==0);

+}catch(constboost::thread_interrupted&){

+throw;

+}catch(...){

+returnboost::none;

+}

下面這行代碼沒有try/catch是漏洞存在的核心原因：

ss<<pt.get();

由于

pt是由攻擊者控制的數據，其正被寫入本地

CDataStreamss對象，因此需要更仔細的處理。

現在我們可以看到，只有boost::thread_interrupted類型的異常冒泡，所以其他異常都被“消滅”了，boost::none則會返回。這使得具有zaddr地址私鑰的節點與所有其他節點一樣，可以防止元數據泄露。

作者注意到，這里仍然存在尋找舊Sprout地址的易受攻擊的代碼。

有人可能認為這種攻擊只能針對節點的對等節點，而不能針對整個網絡，但增加最大對等節點計數是微不足道的，通過一個或幾個節點來研究整個網絡是可行的。

高級攻擊者將擁有一個他們想要連接IP的zaddr數據庫，然后運行密集連接至整個網絡的節點，并定期向所有對等節點的mempool發送無效交易，從而建立的三元組數據歷史記錄。然后，他們就可以使用這些數據，并通過數量分析和定時分析將其鏈接到其他數據，以完全取消屏蔽交易的匿名性，并將它們直接與IP地址和地理位置相綁定。

Tags：ASHCASCASHzcashATMCASH價格eCash幣cashcoinKZCash

UNI