L’équipe de Zcash (ZEC) vient d’annoncer qu’une faille dans le code de cette cryptomonnaie aurait permis de contrefaire et dupliquer à l’infini des ZEC. Mais pas de panique : la vulnérabilité a été découverte, puis corrigée, il y a plusieurs mois de cela déjà.
[coin-widget id=”zcash”]
Une erreur mathématique lourde de conséquences
Annoncée sur leur blog ainsi que par Zooko Wilcox – CEO de la Zcash Company -, cette faille était due à une “simple” erreur dans une formule mathématique (datant de 2013), reprise dans le code de Zcash.
I'm so proud of the Electric Coin Company team today. 11 months ago, we discovered a "Worst Case Scenario" bug—a flaw in the underlying math of the Zero-Knowledge Proofs that prevent counterfeiting. Here's what we found and how we protected users. https://t.co/dv34Qh41R0
— zooko (@zooko) February 5, 2019
Si cette vulnérabilité avait été exploitée, le hacker aurait pu émettre autant de nouveaux ZEC contrefaits qu’il le désirait. Il aurait ensuite été impossible de les différencier des ZEC “réguliers”. La faille n’aurait en revanche pas eu de conséquences sur la vie privée des utilisateurs.
La découverte de la faille
Tout remonte à 11 mois de ça, le 1er mars 2018 pour être précis, lorsqu’un employé de Zcash – Ariel Gabizon – a découvert l’erreur mathématique entraînant la vulnérabilité.
Plutôt que de faire un hard fork dans l’urgence, qui aurait éveillé des soupçons, l’équipe de développement de Zcash a préféré inclure secrètement la correction dans la mise à niveau déjà programmée du réseau, appelée Sapling (nous en parlions ici). En attendant, des mesures d’atténuation avaient été élaborées pour réduire le risque.
Le correctif en place depuis octobre
Sapling a été implémenté avec succès le 28 octobre dernier. La faille a été corrigée et n’est plus exploitable depuis cette date.
Bien que présente depuis l’origine, dans le code des zk-SNARK (qui permettent les transactions anonymes de Zcash), cette vulnérabilité n’aurait jamais été exploitée selon l’équipe de développement. Elle estime qu’une attaque aurait laissé une empreinte dans le nombre de ZEC, et qu’aucune empreinte de ce type n’a été trouvée.
Les projets cryptos Horizen (ZEN) et Komodo (KMD) auraient été avertis par Zcash de cette faille en novembre 2018 (après Sapling), car ils ont une partie de code commun hérité du ZEC. L’équipe de Zcash explique que ces projets ont depuis « pris les mesures appropriées, selon nos recommandations ».
[es_tradingview symbol=”bitfinex:zecusd” interval=”D” height=”500″ colors=”Light”]
