Программисту Bitcoin Core Кори Филдсу удалось обнаружить критическую уязвимость Bitcoin Cash. Кори обнаружил ошибку еще в апреле, но сообщить о ней решил только сейчас.

Bitcoin Cash занимает четвертое место по капитализации в мире, выявленная Кори уязвимость могла привести к серьезным последствиям для всей сети. А это неизбежно бы сказалось на всем криптовалютном рынке.

«25 апреля 2018 года я анонимно и конфиденциально обнаружил критическую уязвимость в Bitcoin Cash — одной из самых значимых криптовалют (не путать с Биткоином)», — написал программист. — «Ошибка полностью подрывает полезность и, следовательно, ценность этой криптовалюты».

Ранее разработчики переписали часть кода подтверждения подписи транзакции. Именно тогда и была допущена ошибка: определенный бит в типе подписи не проверялся. Баг получил название SIGHASH_BUG, из-за него сеть Bitcoin Cash могла разделиться на две несовместимые между собой, осуществлять транзакции также стало бы невозможно.

( Читать дальше )

Злоумышленники могут воспользоваться найденными критическими ошибками для осуществления двойной траты монет, создания новых монет из ниоткуда и для кражи средств у других пользователей. 

Уязвимости протокола Zerocoin были обнаружены исследователями из немецкого Университета Эрлангена-Нюрнберга (FAU). К криптовалютам, подверженным этим уязвимостям, относятся Zcoin, PIVX, SmartCash, Zoin и Hexxcoin.

В число найденных ошибок входят такие, с помощью которых злоумышленники осуществляют повторную передачу одних и тех же средств, тем самым сжигая активы других пользователей. 

Однако, исследователи отмечают, что для использования этой мошеннической схемы атакующий должен иметь возможность блокировать сетевые сообщения на протяжении длительного периода времени. 

Другие уязвимости относятся к имплементациям в библиотеке libzerocoin. Так, мошенники могли создавать монеты из ниоткуда при помощи разных представлений одного и того же серийного номера. А вторая ошибка связана с тем, что в libzerocoin «подпись разглашения» не учитывала хеш подписываемой транзакции. Это позволяло любому, кто видит валидную транзакцию, заменить ее собственной транзакцией и отправить монеты на другой адрес.

Команды проектов SmartCash и PIVX заявили, что решили эту проблему еще несколько месяцев назад. Кроме того, команда Zcoin объявила о выпуске нового обновления, которое исправит эти уязвимости.