Zero-ZER_security-1

Une faille de sécurité découverte sur Zerocoin

Une faille de sécurité importante vient d’être découverte dans le protocole cryptographique Zerocoin. Elle permet à l’attaquant de brûler les avoirs d’utilisateurs honnêtes et d’en créer de nouveaux à partir de rien. Les cryptomonnaies utilisant ce protocole, telles que ZCoinPIVXSmartCashZoin, et Hexxcoin sont donc vulnérables, mais leurs équipes ont déjà réagi.

Le protocole cryptographique Zerocoin a été créé pour répondre aux problèmes de confidentialité que posent de nombreuses cryptomonnaies basées sur une blockchain publique, où il est possible de connaître le montant et les adresses impliquées dans une transaction. Les chercheurs en cryptographie qui ont créé Zerocoin se basent sur un système de preuves à divulgation nulle de connaissance, qui permet de cacher les adresses impliquées dans une transaction, tout en étant capables de prouver que l’émetteur détient bien ses coins. Pour éviter les doubles-dépenses, chaque coin a un identifiant unique.

Cependant, des chercheurs ont récemment publié un article où ils décrivent une attaque. Elle vise à utiliser ce système d’authentification pour dépenser les avoirs des utilisateurs honnêtes, en subtilisant les numéros de série des cryptos qu’ils souhaitent dépenser, avant qu’ils n’atteignent le réseau.

Même si elle est difficile à mettre en pratique, le risque existe : l’attaquant doit trouver un moyen d’intercepter et de bloquer les messages réseau de l’utilisateur (par exemple au niveau de son fournisseur d’accès à Internet ou avec un nœud malicieux s’il utilise Tor). S’il n’arrive pas à intercepter les requêtes de transaction avant que l’utilisateur ne les diffuse sur la blockchain, ce sont ses coins qui deviendront inutilisables. L’attaque est donc complexe, mais réelle.

La solution est d’utiliser la clef publique provenant d’un nouveau schéma de signature pour générer le numéro de série des coins.

D’autres failles de sécurité ont été découvertes dans les librairies de Zerocoin, et sont également décrites dans l’article des chercheurs. PIVX, SmartCash et Hexxcoin ont réagi en mettant à jour leur client, mais il semblerait que ZCoin et Zoin n’aient pas encore implémenté de correctif.

Sources : FAU ; BitsOnline || image from Shutterstock.com

Restez connecté à l'actualité
Qui d'autre veut recevoir un résumé de l'actualité des dernières 24h chaque matin ?
PARTAGER
Morgan Phuc
Évangéliste de la crypto-économie, formateur blockchains/crypto-monnaies, co-fondateur et rédacteur en chef de BitConseil.fr où j'y écris de gros pavés, je me détends grâce à la rédaction de brèves sur le Journal du Coin.

LAISSER UN COMMENTAIRE

Votre adresse de messagerie ne sera pas publiée.En publiant un commentaire, vous acceptez notre politique de confidentialité.

S'il vous plaît entrez votre commentaire!
Veuillez entrer votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.