Zcashi auditi sees: miks anonüümsed Blockchaini projektid kulutasid $ 250k proovile tulekahju abil | EE.democraziakmzero.org

Zcashi auditi sees: miks anonüümsed Blockchaini projektid kulutasid $ 250k proovile tulekahju abil

Zcashi auditi sees: miks anonüümsed Blockchaini projektid kulutasid $ 250k proovile tulekahju abil

Venture tagatud cryptocurrency lubadusega anda tõeliselt anonüümne tehingute kavas käivitada beeta täna liikuda, mis tähistab viimane üksikasjalikud ja kallis protsess, mis aitab tagada nii palju vigu kui võimalik eemaldatakse enne blockchain toetab reaalne tehingute.

Loodud kahvli Bitcoin blockchain, Zcashis mõeldud varjatud aadressid nii osalevate osapooltega tehing samuti tehingu summa.

Kui edukas, privaatsust orienteeritud, avaliku blockchain võib lõpuks moodustavad sihtasutuse ökosüsteemi hajutatud rakendusi ehitatud nii tarbijad kui ka suured pangad otsivad rohkem erasektori vahendeid tehinguid.

Mitte ainult silmad cryptocurrency kogukonnaga tihedalt watchingthis arengut, kuid nii on isehakanud hackerslooking kõrge väärtusega sihtmärk.

Nii, et aidata tagada usaldusväärsus uue protokolli, valuuta loojad, Zcash Electric Müntide Company, kulutavad veerandi viimastel $ 1m riskikapitali investeeringute palgata kolm eraldi audiitorfirmad. High-stakes keskkond, kus isegi konkureerivate cryptocurrencies võib benefit nõuab kõrgemat hoolsuse kohaselt veteran cryptographerZooko Wilcox, üks Zcash asutajad.

Ühes intervjuus CoinDesk, Wilcox selgitas raskusi tasakaalustamise peaaegu võimatu ülesanne täiesti auditeeritud koodi, rahalised vahendid on piiratud.

Ta ütles:

"Kurb, kahetsusväärne on see, et suur Codebase see on võimatu leida kõik vead. Kui sa teed seda liiki turvalisuse protsessi, teil on valida ulatus, mis on kõige ohtlikum."

Et probleemi lahendada Wilcox keskendunud audiitorite tähelepanu peale muudatusi tema meeskond on tehtud Bitcoin protokolli koodi.

Pärast seitse aastat kestnud töötab ilma hack, et vähemalt osaliselt võib tühistada vähemalt mõned usaldust.

Eelkõige Zcash kitsenenud selle ulatus kuue komponendid, sealhulgas zkSNARK krüptograafia ehitatud libsnark krüptograafilise ehitus "zkSNARK circuit" ja Equihashproof-of-töö algoritmi.

"Seal ei ole kuidagi vaadata suur Codebase ja tean, et see on ohutu üldiselt," ütles Wilcox. "Sa pead vaatama suur hall ala, mis on rohkem ohutu või vähem turvaline."

Liikuv märklaud

Esimene samm kontrolli teostavale on valida audiitorid. Kuigi see võib tunduda ilmselge, tegeliku protsessi valiku tegemisel ei ole alati lihtne, sest koostöö nõuab palju usaldust ja võivad sisaldada raske vestlused.

Sest Zcash esimene audit, mis on käimas alates augustist, Wilcox nimetatakse Londonis põhinev NCC Group, partner eelmisest auditist pärit ta conductedwith oma turvaettevõtte vähim amet.

Avalikult kaubeldud NCC Group peamine julgeoleku konsultant, Alex Balducci, kelle ülesanne oli analüüsida kolmanda osapoole sõltuvused selline libsnark. Täpsemalt Balducci lagunes analüüsi kahte kategooriasse: vaadates rakendamise Zcash protokolli ja auditi lähtekoodi.

Varajane Auditi järelduste tulemusena mitu soovitused hõlmavad kuidas Zcash on arenenud. Täpsemalt, ta on toetanud kandmiseks vahendeid, mis aitavad kindlaks kodeerimine küsimusi arengu käigus.

"See protsess peaks olema midagi, mis puudutab kõiki aspekte ettevõtte," Balducci ütles CoinDesk. "Arendaja peab olema teadlik erinevate turvalisuse küsimusi, poliitikat tuleks paika parandada ja kohandada muutuvate julgeolekuohtude, auditeid tuleb teha ja plaane halvima stsenaariumi moodustatud."

Relvad ja Frappuccinos

Hiljem sellel kuul, NCC Group liitub kaks teiste audiitorite protsess aitab vähendada vigu ja teiste nõrkade kohtade koodi.

Osaliselt tänu Argentina põhinev Coinspect ajalugu avaldamise "uuenduslik" protokoll kujunduse, Zcash ülesanne firma kinnitamiseks konkreetsed ähvardused, protokollid ja algoritme, mis toimub ainult cryptocurrencies.

Asutaja veteran turvaettevõtte mis on auditeeritud rakendusi, sealhulgas Bitcoin Core, ethereum, monero, vastaspoole ja bitcoinj ütleb, et cryptocurrencies tõestada eriti ahvatlev sihtmärk, sest mõned andmed kaalul on ka vastava märgi väärtus.

CoinSpect on Juliano Rizzo võrreldes käivitamise Zcash käivitamisega Bitcoin. Ta ütles, et kui Bitcoin käivitas oli vähe, kui üldse inimestele erinevaid oskusi vaja häkkida cryptocurrency - oskusi, mida ta hindab hulka krüptograafia, tuttav GPU-siseosad, teadlikkust ASIC-disain, määrus, majanduse ja sotsiaalse dünaamika.

Üks strateegia Rizzo ütles ta otsib oma klientidele, et aidata vähendada varguse on tark lepingud, mis võimaldavad äriühingutel säilitada cryptocurrency külmsäilituses ja mis sisaldavad pöörduv aega lukus võlvid nii "ebaseaduslikult vallandatud" tehingute võimalik ümber pöörata.

Aga isegi kui kaitsevõimet hacks on muutunud keerulisemaks, sest esimestel päevadel Bitcoin, nii et on ründajad.

Rizzo ütles:

"Et füüsiliselt varastada kotid sularaha panka minutit, peate jõugu erinevate oskuste, sealhulgas süütamise relvi ja kaevamine tunnelid samas teeseldes müüa või küpsiseid. Cryptocurrency varguse saab läbi vaikselt ühe häkker nautida Frappuccino sisse kohvik. "

Mida suurem vastutus

Teine audiitori kavas alustada tööd septembris on Alexander Peslyak parem knownas Solar Designer. Tema erilist tähelepanu oli Equihash proof-of-töö algoritmi.

Lisaks sellele, et asutaja ja CTO Openwall, Solar Designer on nõuandja Open Source Computer Emergency Response Team, mis pakub turvalisust toetust avatud lähtekoodiga projekte.

In intervjuu CoinDesk, Solar Designer selgitas raske ülesanne, et teised asutajad hoone krüptograafiliselt põhineb alustavatel puutuvad, püüdes tasakaalustada peaaegu võimatu ülesanne luua täiesti silumisel Codebase piiratud eelarvega.

Solar Designer nõustus avaldusi ükshaaval iga teiste audiitorite, et täiesti silumisel Codebase tahes "mitte-triviaalne" suurus "mitte ainult ei ole võimalik saavutada - see võib olla isegi määratletud."

Isegi $ 250,000 auditeerimine eelarve Zcash oli sunnitud kitsendada oma jõupingutusi vaid nendes valdkondades, mis ei juba suures silumisel.

Aga alustavatel, mis ei ole rahastatud või ei ole teist kapitali allikas, Solar Designer ütles, et tase nõutavat hoolsuskohustust muudatusi projektide suhtes. In the end, ta ütles, et see on kuni audiitorid ise suhelda piirangud iga projekti kohta.

Aga see ei tähenda, hoolsust on vabatahtlik.

"See on tüüpiline, et kohandada ulatus eelarve ja vahemikus võib erineda suurusjärgus või rohkem," kirjutas ta. "Ei saa endale mingeid? See on karm."

Nn poolväärtusaeg kahtlust "

Zcash on kavas käivitada arvesse beeta täna kõik oma funktsioonide elada.

Aga Wilcox otsib heidutada kogunemine tahes palju rikkust kohta blockchain vahel nüüd ja täielikku käivitamist erastamine toimuda 28. Oktoobril.

Isegi siis, ta ütles, et ta loodab kasvu määra valuuta väärtus toimub aeglaselt.

Kui lähtetekst on piisavalt keeruline, seal tõesti ei ole garantiid. Ta nimetab seda "poolestusaeg kahtlust", või ideel, et igal aastal, et läheb ilma häkkida oma usalduse tõusu - kuid see ei pruugi kunagi jõuda absoluutse kindlusega.

Kuigi Zcash põhineb as-veel un-häkkinud Bitcoin koodi baasi, Wilcox ütles ta ei ole 100% kindel, ei pruugi see kunagi olla ohustatud.

"Ainus asi, mis teeb mulle rahul," ütles Wilcox, "on see, et kui aastaid minna rohkem ja rohkem raha."

Trial tules

Seal on kaks võimalust turvalisuse tagamiseks süsteemi.

Esimene on see, mida turvalisuse ekspert Bruce Schneier suurepäraselt kirjeldatud kui "turvalisuse varjamisega" on 2008 artikkel. See väidetavalt oli seisundi Bitcoin turvalisuse kaudu algusaastatel, kui vähesed inimesed teadsid eksisteeris, ja need, kes tegid üldiselt arvatakse olevat olnud cryptocurrency tema huve silmas pidades.

Teine vorm turvalisuse kuigi on see, mida Wilcox kutsub "kohtuprotsessi tules."

Kuud enne kui ta palkas audiitorid võta kood ja nõrku külgi otsida, kood avaldati Github ja avalikkus invitedto otsida vigu. Selle tulemusena Hulgiturvaaugud tuvastati isegi enne ametlikku auditid algasid.

Kuid tegelik vead eksponeeritud keeruline süsteem nagu cryptocurrency Codebase on tegur tegeliku vead ja kokkupuute või raha, ratsutamine toote, vastavalt Wilcox.

Kutsudes täiendavaid väljaspool audiitorid kontrollida cryptocurrency kood kiirendab et määr kokkupuudet.

Wilcox järeldusele:

"Sa sundida ennast mitte minna läbi kohtuprotsessi tules. Ja sa tahad seda näha nii palju silmi kui võimalik."

Hoiatus: CoinDesk tütarettevõte Digitaalne Valuuta Group, mis omab osalust osaluse Zcash.

Seotud uudised


Post Altcoin

Bitcoin Bank Flexcoin sulgeb pärast $ 600k Bitcoin Theft

Post Altcoin

Altcoiinid asuvad Feathercoini kohtumisel Oxfordis

Post Altcoin

Austraalia Bitcoin vahetus CoinJar saab $ 500k venture rahastamist

Post Altcoin

ATB mündi värskeima näo klassi-tegevuse suit pärast ICO

Post Altcoin

Intuit QuickBooks Bitcoin Sign-Ups on kõrgemad kui oodatud

Post Altcoin

Mündikonverentsi päev 1. päev: arutelu New Yorgi määruse üle

Post Altcoin

Coinplug võidab Blackberry ID teenuse eest $ 45 000 auhinna

Post Altcoin

Bitfin Day Two: vajame rohkem globaalset, organiseeritud bitcoini haridust

Post Altcoin

Numbrid või mitte, Coincheck ei ole Mt. Gox

Post Altcoin

Bitcoini hind langeb 10% -ni Hiina laovarude hoiustena

Post Altcoin

ASIC Maker püüab tuua Saksa efektiivsust Bitcoin Miningile

Post Altcoin

BitOcean vabastab kahesuunalise bitcoini ATM, et konkureerida turuliidritega