Allinterno di Zcash Audit: perché il progetto Anonymous Blockchain ha speso $ 250k in una prova di fuoco | IT.democraziakmzero.org

Allinterno di Zcash Audit: perché il progetto Anonymous Blockchain ha speso $ 250k in una prova di fuoco

Allinterno di Zcash Audit: perché il progetto Anonymous Blockchain ha speso $ 250k in una prova di fuoco

Un criptovaluta venture-backed con la promessa di fornire transazioni realmente anonimi è prevista per il lancio in beta oggi, una mossa che segnerà l'ultimo di un processo dettagliato e costoso per contribuire a garantire il maggior numero di bug possibili vengono rimossi prima della sua blockchain supporta le transazioni reali.

Creato da un fork del blockchain bitcoin, Zcashis progettato per mascherare gli indirizzi di entrambe le controparti che partecipano a una transazione, nonché l'importo della transazione.

In caso di successo, la privacy-oriented, blockchain pubblico potrebbe eventualmente costituire la base di un ecosistema di applicazioni distribuite costruite da consumatori e grandi banche alla ricerca di un mezzo più privati ​​per transazioni commerciali.

Non solo sono gli occhi della comunità criptovaluta watchingthis da vicino lo sviluppo, ma lo sono anche gli aspiranti hackerslooking per un target di alto valore.

Così, per contribuire a garantire la solidità di questo nuovo protocollo, i creatori della moneta, Zcash elettrico Coin Società, stanno spendendo un quarto del loro investimento in capitale di rischio $ 1 milione recente per assumere tre distinte società di revisione. L'ambiente high-stakes dove anche cryptocurrencies concorrenti potrebbero trarranno beneficio inviti a un livello più elevato di due diligence, in base al veterano cryptographerZooko Wilcox, uno dei fondatori di Zcash.

In un'intervista con CoinDesk, Wilcox ha spiegato le difficoltà di bilanciare il compito quasi impossibile di codice perfettamente controllato, con limitate risorse finanziarie.

Egli ha detto:

"La triste, sfortunato fatto è che con una grande base di codice è impossibile trovare tutti i bug. Quando si sta facendo questo tipo di processo di sicurezza, si deve scegliere un ambito di ciò che è più pericolosa."

Per l'indirizzo del problema, Wilcox focalizzato l'attenzione dei conti sui cambiamenti la sua squadra ha reso al codice del protocollo bitcoin.

Dopo sette anni di funzionamento senza un hack, quella parte almeno, può essere messo da parte con almeno un po 'di fiducia.

In particolare, Zcash limitato la relativa portata a sei elementi, compreso il crittografia zkSNARK costruita sulla libsnark, la costruzione crittografica del "circuito zkSNARK" e l'algoritmo Equihashproof-di-lavoro.

"Non c'è alcun modo di guardare a una grande base di codice e sapere che è sicuro in generale", ha detto Wilcox. "Bisogna guardare in una grande zona grigia che è più sicuro o meno sicuro."

Un bersaglio mobile

Il primo passo per l'esecuzione di un audit è quello di selezionare i revisori. Anche se questo può sembrare ovvio, l'effettivo processo di fare la scelta non è sempre facile, come la collaborazione richiede un sacco di fiducia e potrebbe includere conversazioni difficili.

Per prima verifica di Zcash, che è in corso dal mese di agosto, Wilcox chiamato con sede a Londra Gruppo NCC, un partner da una precedente verifica ha conductedwith la propria società di sicurezza, Least Autorità.

Il consulente di sicurezza quotata in borsa del Gruppo NCC principale, Alex Balducci, è stato incaricato di analizzare le dipendenze di terzi tale libsnark. In particolare, Balducci si ruppe l'analisi in due categorie: riesaminare l'attuazione del protocollo Zcash e una verifica del codice sorgente.

Le prime conclusioni dell'audit hanno provocato molteplici raccomandazioni che coinvolgono il modo Zcash è sviluppato. In particolare, egli ha sostenuto per l'inserimento di strumenti per aiutare a identificare problemi di codifica durante lo sviluppo.

"Questo processo dovrebbe essere qualcosa che tocca tutti gli aspetti di una società", ha detto Balducci CoinDesk. "Gli sviluppatori dovrebbero avere la consapevolezza dei vari problemi di sicurezza, le politiche dovrebbero essere messo in atto per migliorare e adattarsi alle mutevoli minacce alla sicurezza, i controlli devono essere eseguiti e piani per gli scenari peggiori formate."

Pistole e Frappuccinos

Più tardi questo mese, NCC Group sarà affiancato da altri due sindaci nel processo di aiutare a ridurre al minimo bug e altre vulnerabilità nel codice.

In parte a causa della storia Argentina a base di Coinspect di pubblicare modelli di protocollo "innovative", Zcash incaricato la ditta per convalidare specifiche minacce, i protocolli e gli algoritmi che si verificano solo per cryptocurrencies.

Il fondatore della società di sicurezza veterano, che ha verificato le implementazioni tra cui Bitcoin Core Ethereum, Monero, controparte e bitcoinj dice che cryptocurrencies rivelarsi un obiettivo particolarmente allettante perché alcuni dei dati in gioco ha anche un corrispondente valore simbolico.

Di CoinSpect Juliano Rizzo paragonato il lancio della Zcash con il lancio di bitcoin. Ha detto che quando Bitcoin lanciato, c'erano poche o nessuna le persone con le diverse abilità imposta necessario per incidere un criptovaluta - competenze che egli stime includono la crittografia, la familiarità con GPU-internals, la consapevolezza di ASIC-design, regolamento, economia e dinamiche sociali.

Una strategia Rizzo ha detto che cerca in suoi clienti per contribuire a ridurre il rischio di furto è contratti intelligenti che consentono alle aziende di memorizzare criptovaluta in celle frigorifere e che includono reversibili volte nel tempo bloccata in modo "illegalmente innescato" transazioni possono essere invertiti.

Ma anche come difese contro hack sono diventati più sofisticati sin dai primi giorni di bitcoin, in modo da avere gli attaccanti.

Rizzo ha detto:

"Per rubare fisicamente sacchi di denaro da una banca in pochi minuti, è necessario un gruppo con competenze diverse, tra cui sparando pistole e scavando tunnel facendo finta di vendere biscotti al burro. Un furto criptovaluta può essere effettuata tranquillamente da un singolo hacker, godendo di un Frappuccino in un negozio di caffè."

La maggiore responsabilità

Un altro revisore in programma di iniziare i lavori nel mese di settembre è Alexander Peslyak, knownas migliori Solar Designer. La sua particolare attenzione è stata sull'algoritmo Equihash proof-of-lavoro.

Oltre ad essere il fondatore e CTO di Openwall, Solar Designer è un consulente per la Sorgente Computer Emergency Response team aperto che fornisce il supporto di sicurezza per i progetti open-source.

In un'intervista con CoinDesk, Solar Designer ha spiegato il difficile compito che gli altri fondatori di costruzione start-up basate crittografia devono affrontare quando si cerca di bilanciare il compito quasi impossibile di creare una base di codice completamente debug con un budget limitato.

Solar Designer d'accordo con le dichiarazioni fatte individualmente da ciascuno degli altri revisori che una base di codice perfettamente debug di qualsiasi dimensione "non banale" "non solo non può essere raggiunto -. Non può nemmeno essere definito"

Anche con un budget di revisione $ 250.000, Zcash è stato costretto a restringere il campo dei suoi sforzi per solo quelle aree che non sono stati in gran parte già debug.

Ma per start-up che non sono finanziati o che non hanno un'altra fonte di capitale, Solar Designer ha detto che il livello di diligenza richiesto cambia da progetto a progetto. Alla fine, ha detto spetta ai revisori sé a comunicare le limitazioni di ciascun progetto.

Ma questo non significa che la diligenza è opzionale.

"E 'tipico di regolare la portata di budget, e la gamma può variare di un ordine di grandezza o più", ha scritto. "Non può permettersi alcun? Questo è difficile".

Il 'tempo di dimezzamento del dubbio'

Zcash è prevista per il lancio in beta oggi con tutte le sue caratteristiche vivono.

Ma Wilcox sta cercando di scoraggiare l'accumulo di qualsiasi grande quantità di ricchezza sul blockchain tra oggi e il lancio completo previsto a verificarsi il 28 ottobre.

Anche allora, ha detto che spera che il tasso di crescita del valore della valuta avviene lentamente.

Se una base di codice è già abbastanza complicato, non ci sono davvero garanzie. Lui lo chiama il "tempo di dimezzamento del dubbio", o l'idea che ogni anno che passa senza un hack suoi aumenti di fiducia - ma non può mai raggiungere la certezza assoluta.

Anche se Zcash si basa sul come-ancora non-hacked bitcoin base di codice, Wilcox ha detto che non è sicuro al 100% che non potrebbe un giorno essere compromessa.

"L'unica cosa che mi farà soddisfatti", ha dichiarato Wilcox, "è che se anni e anni passano con sempre più soldi."

Prova del fuoco

Ci sono due modi per garantire la sicurezza di un sistema.

Il primo è quello che l'esperto di sicurezza Bruce Schneier notoriamente descritto come "security through obscurity", in un articolo del 2008. Questo, probabilmente, era lo stato della sicurezza di bitcoin attraverso i suoi primi anni, quando poche persone sapevano della sua esistenza, e di quelli che ha fatto sono generalmente si crede di aver avuto l'interesse superiore del criptovaluta in mente.

La seconda forma di sicurezza anche se è quello che Wilcox chiama "prova del fuoco".

Mesi prima che ha assunto revisori di smontare il codice e cercare i punti deboli, il codice è stato pubblicato su Github e il pubblico era invitedto cercare bug. Di conseguenza, diverse vulnerabilità sono stati identificati, anche prima dell'inizio delle verifiche formali.

Ma gli insetti veri esposti in un sistema complesso come una base di codice criptovaluta sono un fattore dei bug effettive, e l'esposizione, o il valore, cavalcando il prodotto, secondo Wilcox.

Invitare ulteriori revisori esterni per rivedere il codice di criptovaluta accelera che il tasso di esposizione.

Wilcox ha concluso:

"Tu sforzatevi di non passare attraverso una prova del fuoco. E vuoi che sia visto da quante più gli occhi il più possibile."

Disclaimer: CoinDesk è una controllata di Digital valuta Group, che ha una quota di proprietà in Zcash.

Notizie correlate


Post Altcoin

Bitcoins Lightning Network è ora compatibile con Digital Asset

Post Altcoin

Primavera de Filippi su Blockchain e The Quest to Decentralize Society

Post Altcoin

Regolatore australiano: Bitcoin non è un prodotto finanziario

Post Altcoin

7 grafici che mostrano un anno di crescita per gli sportelli bancomat Bitcoin

Post Altcoin

Nail in the Coffin: il giorno I regolatori degli Stati Uniti soffocarono le startup di Bitcoin

Post Altcoin

Fondazione NEM: fondi monetari rubati non inviati agli scambi

Post Altcoin

La banca centrale di Singapore traccia quando gli ICO sono e non sono titoli

Post Altcoin

ASIC Maker punta a portare lefficienza tedesca in Bitcoin Mining

Post Altcoin

ATM di Robocoin Bitcoin per il debutto nel più grande centro commerciale del Nord America

Post Altcoin

Integrazione Bank Blockchain: una sfida superata

Post Altcoin

Bitcoin ha bisogno di unaggressiva difesa legale

Post Altcoin

Solo SegWit? Bitcoin Core sta già lavorando a un nuovo aggiornamento in scala