video thumb

باگ موجود در زی کش می‌تواند آدرس‌های IP تمام نودهای محافظت شده را آشکار کند!

باگی که در پیاده سازی های زی کش (ZEC) و بیشتر فورک های آن وجود دارد، ممکن است متادیتاهای حاوی نودهای کامل را با آدرس های محافظت شده (zaddr) انتشار دهد.

دوک لتو (Duke Leto)، توسعه دهنده اصلی کومودو (KMD) در پست وبسایت شخصی خود از وجود این باگ اطلاع داد. کد آسیب پذیری عمومی (CVE) در ۲۷ سپتامبر برای پیگیری این مسأله اختصاص داده شده است. لتو در این باره توضیح داد:

از زمان پیدایش زی کش و پروتکل زی کش، باگی در تمام آدرس های محافظت شده وجود داشته است. این باگ در تمام فورک های کد منبع زی کش موجود است. با این باگ می‌توانید آدرس IP نودهای کاملی که آدرس محافظت شده (zaddr) دارند را پیدا کنید. در این صورت، هنگامی که آلیس به باب zaddr ارسال می کند تا پرداخت انجام شود، در واقع به باب امکان می ‌دهد تا آدرس IP خود را کشف کند. این موضوع به شدت مخالف طراحی پروتکل زی کش است. “

بر اساس این اطلاعیه، هرکسی که zaddr خود را منتشر کند یا آن را در اختیار شخص ثالث قرار دهد، می‌ تواند در معرض این آسیب پذیری قرار گیرد. لتو ادعا می کند که کاربران باید این موضوع را در نظر بگیرند که آدرس IP و اطلاعات جغرافیایی مربوط به آن در zaddr موجود است.

تحت تاثیر قرار گرفتن چندین ارز دیجیتال

طبق گفته لتو، کاربرانی که هرگز از zaddr استفاده نکرده اند و فقط از آن در شبکه روتینگ تور اونیون (Tor Onion) یا یا فقط برای ارسال بودجه استفاده کرده اند، تحت تأثیر این باگ قرار نمی گیرند. علاوه بر این، لتو ادعا می کند که زی کش تنها ارز دیجیتالی نیست که تحت تاثیر این باگ قرار گرفته و فهرستی از ارزهای دیجیتال را که مورد هدف این باگ قرار گرفته اند، ارائه می دهد.

ارزهای دیجیتال موجود در این لیست عبارتند از زی کش، هاش (Hush) ، پایرت (Pirate)، زنجیره های هوشمند کومودو که به طور پیش فرض دارای zaddr می ‌باشند، سیف ‌کوین (Safecoin)، هورایزن (Horizen)، زیرو (Zero)، ووت کوین (VoteCoin)، اسنوجم (Snowgem)، بیت کوین زی (BitcoinZ)، لایت کوین زی (LitecoinZ)، زلکش (Zelcash)، وایکش (Ycash)، ارو (Arrow)، وروس (Verus)، بیت کوین پرایوت (Bitcoin Private)، زی‌ کلاسیک (ZClassic) و انون (Anon). لتو هم چنین خاطرنشان می کند که کومودو ویژگی آدرس های محافظت شده را غیرفعال کرده و آن را به زنجیره پایرت منتقل کرده است، این مسئله به این معناست که کومودو دیگر حاوی این باگ نمی باشد.

همانطور که کوین تلگراف اخیراً گزارش داده است، شرکت Coin Electric که توسعه کوین زی کش را عرضه و از آن پشتیبانی می کند، اخیراً مقاله ای را منتشر کرده است که در آن به توصیف یک سیستم رمزنگاری بدون نیاز به اعتماد به نام Halo می پردازد.