Злоумышленники могут воспользоваться найденными критическими ошибками для осуществления двойной траты монет, создания новых монет из ниоткуда и для кражи средств у других пользователей.
Уязвимости протокола Zerocoin были обнаружены исследователями из немецкого Университета Эрлангена-Нюрнберга (FAU). К криптовалютам, подверженным этим уязвимостям, относятся Zcoin, PIVX, SmartCash, Zoin и Hexxcoin.
В число найденных ошибок входят такие, с помощью которых злоумышленники осуществляют повторную передачу одних и тех же средств, тем самым сжигая активы других пользователей.
Однако, исследователи отмечают, что для использования этой мошеннической схемы атакующий должен иметь возможность блокировать сетевые сообщения на протяжении длительного периода времени.
Другие уязвимости относятся к имплементациям в библиотеке libzerocoin. Так, мошенники могли создавать монеты из ниоткуда при помощи разных представлений одного и того же серийного номера. А вторая ошибка связана с тем, что в libzerocoin «подпись разглашения» не учитывала хеш подписываемой транзакции. Это позволяло любому, кто видит валидную транзакцию, заменить ее собственной транзакцией и отправить монеты на другой адрес.
Команды проектов SmartCash и PIVX заявили, что решили эту проблему еще несколько месяцев назад. Кроме того, команда Zcoin объявила о выпуске нового обновления, которое исправит эти уязвимости.