Wie man bei Zcash mit dem Aufdecken schwerwiegender Sicherheitslücken umgeht, zeigt ein gestern (05.02.2019) veröffentlichter Bericht des Privacy Blockchain Projekts.
Chronologie der Ereignisse
01. März 2018
Der bei Zcash arbeitende Krytologe Ariel Gabizon entdeckte eine Schwachstelle durch deren Ausnutzung unendlich viele Zcash Coins erschaffen hätten werden können. Sofort kontaktierte er seinen Kollege Sean Bowse und Zooko Wilcox. Es war schnell klar, dass das Transkript, das falsche Beweise generierte, gelöscht werden musste. Noch wurde die angreifbare Softwareversion nicht oft heruntergeladen und so kontaktierte Zooko den CTO Nathan Wilcox um die Erlaubnis dafür einzuholen.
02 März – 27 Oktober 2018
Nathan löschte das Transkript wobei Sean und Zooko zur Sicherheit noch ein Backup hielten. Dabei behielt Zooko das verschlüsselte Backup in einem Schließfach auf während Sean das Passwort verwahrte. Später dann wurde entschieden das Backup zu vernichten.
Zwei Strategien zur Behebung des Problems wurden vorgeschlagen. Ariel empfahl eine Notfallhardfork, was ein Update der Zcash-Parameter und damit eine Neuvermischung oder ein Ersetzen der Parameter durch eine weitere Zeremonie zur Folge gehabt hätte. Sean schlug vor das Problem verdeckt ins geplante großangelegte Sapling Netzwerkupdate einzubauen.
Man entschied sich für Seans Variante und sein Vorschlag wurde technisch umgesetzt. Bis zu dem Zeitpunkt wussten nur diese vier Personen von der Schwachstelle.
28. Oktober 2018
Das Saplingupdate wurde erfolgreich durchgeführt und der Schwachstelle behoben.
01. November 2018
Der Direktor für Produktsicherheit bei ZCash, Benjamin Winston wurde über das Ereignis informiert und begann an einer Strategie für die sichere Offenlegung des Problems an betroffene Projekte zu arbeiten.
09. November 2018
Josh Swihart, Vizepräsident von Marketing und Geschäftsentwicklung bei ZCash wurde informiert und beauftragt zwei mögliche Szenarien zur Veröffentlichung der Schwachstelle zu prüfen und vorzubereiten. Entweder eine direkte Veröffentlichung oder eine vollständige Inkenntnissetzung der involvierten Projekte über die Details noch vor der allgemeinen Veröffentlichung.
13. November 2018
ZCash setzte zwei Partner, die die selbe Technologie in ihren Blockchain Projekten nutzen, Horizen (dessen Sicherheitsteam) und Komodo (ca333 den Sicherheitsbeauftragten) über die Auswirkungen der Schwachstelle und den Lösungsweg in Kenntnis. Dabei wurde der Schriftverkehr verschlüsselt und die technischen Details nicht verraten. Es wurde lediglich darauf hingewiesen auf Groth16 umzusteigen. Noch am selben Tag bestätigte Horizen die Meldung erhalten zu haben.
16. November 2018
Komodo gab Rückmeldung über den Erhalt der Informationen. Spätere Kommunikation, klärte, dass sie am Problem dran waren.
18. November 2018
Sean rekonstruierte das Transkript von DVDs der Teilnehmer an der ursprünglichen Zeremonie.
10. Dezember 2018
Mitglieder des ZCash Teams (Benjamin, Josh, Zooko) hielten eine Videokonferenz mit mit Mitgliedern des Horizen Teams (Alberto Garofollo, Dean Steinbeck, Maurizio Binello, Rob Viglione, Rosario Pabst). Der Zeitplan der vollständigen Veröffentlichung wurde erarbeitet. Das Horizenteam bat um die Übergabe der gesamten technischen Details vor der Veröffentlichung. Zcash hat abgelehnt.
20. Dezember 2018
Zooko informierte den COO von ZCash David Campbell.
05. Januar 2019
Zooko benachrichtigte mit Eli-Ben Sasson, Eran Tromer, Madars Virza and Matthew Green Wissenschaftler der ersten Stunde bei Zcash.
08. Januar 2019
Zooko informiert Alessandro Chiesa einen Wissenschaftler der seit der Gründung dabei ist
25 Januar 2019
Benjamin und Josh informierten John O’Brien, Partner bei Strnge Brew Stategies, einer Firma die PR für Zcash macht um Pressemitteilungen vorzubereiten.
29. Januar 2019
Sean und Ariel benachrichtigten die Kryptographen bei Zcash Daira Hopwood und Jack Grigg.
Benjamin beantrage eine CVE number bei mitre.org und erhielt CVE-2019-7167
31. Januar 2019
Benjamin und Josh trafen Steve Lee von Komodo um die Veröffentlichung zu besprechen.
01. Februar 2019
Benjamin und Josh informierten Zcash Teammitglieder Brad Miller, Elise Hamdon und Paige Peterson um sich auf die Pressefreigabe vorzubereiten. David Campbell informierte Andy Murray, Zcash CFO.
04. Februar 2019
Jack Gavigan, Leiter von Produkt und regulatorische Beziehungen wurde informiert.
Die Zcash Stiftung wurde informiert.
Alle Angestellten bei Zcash wurden informiert.
Mitglieder der Zcash-Gemeide und Forum Moderator mineZcash wurden in Kenntnis gesetzt.
Zeremonie Teilnehmer Derek Hinch von der NCC Group und John Dobbertin (Pseudonym) wurden benachrichtigt.
CVE-2019-7167 Details wurden geupdatet.
05.Februar 2019
Zcash gibt die vollständigen Details in einem Blogpost mitunter dieser Zeitabfolge bekannt.
CVE-2019-7167 wird freigegeben.
Das Ende von Zcash? – Nachwort
Es handelt sich hierbei wahrscheinlich um die schwerwiegendste Codeschwachstelle seit dem Bitcoinbug, der im Herbst 2018 Jahr aufgedeckt wurde. Wie beim Bitcoinbug steht nicht weniger als das gesamte Projekt auf dem Spiel. Allgemein sind solche Fehler/Schwachstellen eine der ernstzunehmendsten Bedrohungen der distributed Ledger Technologie. Was passiert wenn eine böswillige Partei zuerst an die Information kommt? Wie gehen eigentlich Gutmütige mit der Situation um plötzlich die Macht zu besitzen unbegrenzt Coins zu generieren? In der Zeit bis zur Behebung des Problems ist das Projekt auf jeden Fall, wenn vielleicht auch nicht allgemein bekannt, ziemlich zentralisiert. Bei Privacycoins wie Zcash ist die ganze Sache nochmal heikler, da niemand bemerkt wenn Coins aus dem nichts geschaffen werden. Die Blockchain ist zur Gänze verschlüsselt und niemand hat Einblick in die Vorgänge. Einen Hinweis könnte höchstens der sich massiv ändernde Marktpreis geben. Die Technologie Zcashs, die zero-knowlege-proofs (kenntnisfreier Beweis) zk-snarks werden von Experten als Meilenstein in der Kryptographie gefeiert. Dabei ist die Mathematik dahinter derart kompliziert, dass einerseits leicht auftretende Fehler enormen Schaden anrichten können; andererseits sei nach Zcash ein Ausnutzen dieser Fehler unwahrscheinlich da man die Technologie schlicht und einfach nicht verstehe. Letztere Aussage wurde in der Krypto-Gemeinde natürlich sofort durch den Kakao gezogen.
Kryptowährungen kannst du auf Binance*, Coinbase* oder eToro* kaufen. Hier geht es zu unserem ->Starterkit.
Folge uns auf Twitter, Instagram, Facebook, Steemit und tritt unserem Telegram News Kanal oder Newsletter bei.
Du würdest diesen Artikel gerne kommentieren? Dann tritt einfach unserer Telegram Diskussions-Gruppe bei.
*Die mit Sternchen (*) gekennzeichneten Links sind sogenannte Affiliate-Links. Wenn du über diesen Link etwas kaufst, bekommen wir eine Provision vom Händler. Damit kannst du uns unterstützen, der Preis verändert sich dabei für dich nicht.
