1.Zcash屏蔽地址漏洞或揭示全节点IP地址(附解决方案)
Zcash屏蔽地址漏洞或揭示全节点IP地址(附解决方案)
在匿名币的源码激烈技术竞赛中,Zcash的源码一项关键特性可能暴露了潜在漏洞。KMD的源码核心开发者Duke Leto在其博客中揭示了一个关于Zcash及其许多衍生币的漏洞,这个漏洞可能揭示了使用屏蔽地址(zaddr)的源码嗨选房源码全节点IP地址,这一问题被赋予了CVE编号CVE--以追踪。源码
问题核心在于,源码自Zcash创建以来,源码所有屏蔽地址存在一个设计缺陷,源码攻击者能够借此在Zcash协议的源码源代码分叉中找到拥有zaddr的全节点IP。理想中,源码Zcash应保护用户的源码tronlink挖矿源码隐私,但实际上,源码如果Alice通过zaddr向Bob转账,源码Bob可能借此揭示Alice的源码IP,这与初衷相悖。源码
受影响的星座女神卡源码群体包括所有使用和共享zaddr的用户,而未使用过zaddr的用户则不受影响。Bitcoin Gold (BTG)虽然采用Zcash的Equihash PoW机制,但并非Zcash源代码的直接分支,且未使用zaddr,因此不受影响。数藏PHP源码KMD和Safecoin (SAFE)等曾使用过zaddr但已禁用。
要缓解这一问题,用户可以采取措施,比如使用Tor或TAILS操作系统,或创建新钱包并只将资金发送到新地址保持其私密。hadoop rpc 框架源码Zcash已发布紧急源代码更新,建议用户在软件更新前停止使用旧钱包。矿池管理员需注意,公开矿工和zaddr列表会削弱隐私,大多数已停止此做法。
代码分析显示,漏洞源于年的Zcash代码,涉及zcash协议API和加密结构的更新。核心修改在于对异常处理的改进,确保只有特定类型的异常被处理,从而保护zaddr地址的隐私。但仍有对旧Sprout地址的攻击风险,高级攻击者可能通过密集连接网络收集数据,取消屏蔽交易的匿名性。