Des bugs dans le code source de Zcash

0

Zcash est un protocole d’échange d’actifs réputée pour être sécurisée et anonyme. Or une news est tombée récemment concernant cette crypto-monnaie et une erreur présente dans le code source met en danger l’anonymat de ses utilisateurs.

Problème à la source sur Zcash

Duke Leto est le développeur principal de Komodo. Il a découvert un bug dans le protocole de Zcash. Ainsi ce bug pourrait entrainer une fuite de géo-données contenant les noeuds complets et les adresses.

Le bug est présent depuis la création des premières adresses protégées de Zcash. En somme cela signifie que ces adresses peuvent être vulnérables si quelqu’un souhaite avoir des informations sur les transactions ayant eu lieux.

La géo-localisation et l’adresse IP sont associées au zaddr. Toute personne ayant publié son adresse Zcash ou l’ayant fourni à un tiers est susceptible d’avoir révélé publiquement son identité.

Les forks aussi concernés

Le cryptomonnaie Zcash présente un bug, qui révèle les adresses IP de ses utilisateurs.

Malheureusement ce bug ne se limite pas uniquement à Zcash. Il ne faut pas oublier que de nombreuses monnaies sont dérivées de cette première. Ainsi en reprenant le code source de Zcash, les forks sont aussi affectées par cette nouvelle problématique d’anonymat.

Les utilisateurs qui n’ont jamais utilisé les adresse protégées (« zaddr ») ou qui ont eu recours à un proxy TOR ou Tails garderont leur identité intacte.

Selon Duke Leto d’autres monnaies sont sensibles à ce bug découvert récemment. La majorité des cryptomonnaies ont déjà pris les précautions nécessaires pour protéger leurs clients. Chez Komodo par exemple l’adresse protégée est remplacée la Blockchain Pirate.

Une petite liste des monnaies affectées par ce bug d’anonymat :

  • Zcash (ZEC)
  • Hush (HUSH)
  • Pirate (ARRR)
  • All Komodo (KMD) smart chains with zaddrs (enabled by default)
  • Horizen (ZEN)
  • Zero (ZER)
  • VoteCoin (VOT)
  • Snowgem (XSG)
  • BitcoinZ (BTCZ)
  • LitecoinZ (LTZ)
  • Zelcash (ZEL)
  • Ycash (YEC)
  • Arrow (ARW)
  • Verus (VRSC)
  • BitcoinPrivate (BTCP)
  • ZClassic (ZCL)
  • Anon (ANON)

Une CVE disponible

Actuellement un CVE a été publié en ligne, cependant aucun correctif n’est disponible pour le moment. Il semble pour le moment qu’aucun progrès n’aurait été signalisé jusqu’ici.

Conclusion

Mauvaise nouvelle pour cette crypto. Le bug peut venir entacher la réputation de la crypto-monnaie et cela surtout pour les utilisateurs, qui étaient à la recherche d’anonymat. Ainsi certaines personnes se retrouvent donc avec leur adresse IP affichées publiquement.

Source 1 : Canardcoincoin

Source 2 : Journal du coin

Source 3 : blog de Duke Leto

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.