Zcash : un bug permettrait de révéler l’adresse IP des utilisateurs
Un développeur du Komodo (KMD) a révélé dans un article de blog une vulnérabilité affectant la blockchain du ZEC. Le bug de Zcash pourrait permettre de révéler des informations sensibles sur les nœuds du réseau.
Bug de confidentialité pour Zcash
Comme Duke Leko l’explique à grand renfort de memes, le bug du Zcash concerne les adresses anonymes (« zaddrs »). Pour rappel, le Zcash propose à ses utilisateurs deux types d’adresses : d’une part les adresses non anonymes, qui commencent par la lettre « t ». De l’autre, les adresses anonymes ou privées, qui commencent par la lettre « z ». Ce sont ces dernières qui sont affectées par le bug. Comme Leko l’explique de manière succincte : « Lorsqu’Alice donne à Bob une zaddr pour qu’il lui envoie des fonds, cela peut en réalité conduire Bob à découvrir l’adresse IP d’Alice. »
L’article explique également que le bug touche non seulement l’architecture du Zcash, mais aussi tous les forks qui ont été développés depuis sa création : « Un bug existe pour toutes les adresses protégées depuis les débuts du Zcash et du protocole Zcash. Il est présent dans tous les codes sources des forks du Zcash. »
Sont concernées par cette faille de sécurité les personnes qui ont fourni une zaddr à une partie tierce, soit un nombre très important d’utilisateurs. Leur adresse IP a pu être découverte, ce qui va complètement à l’encontre du principe d’anonymat défendu par le Zcash. Le bug ne concerne cependant pas les personnes qui ont envoyé des fonds vers d’autres adresses zaddr sans en recevoir.
D’autres altcoins sont affectés
L’article donne également une liste non exhaustive des altcoins basés sur le Zcash, qui sont également affectés par ce bug. On y trouve le Hush (HUSH), le Pirate (ARRR), les smart chains du Komodo, le Zero (ZER) et le VoteCoin (VOT), parmi d’autres. Leko précise également que le Bitcoin Gold (BTG) n’est pas affecté par le bug, car il utilise une technologie développée par le ZEC mais n’est pas un fork en soi.
Comment se protéger ?
Duke Leko explique qu’un moyen de se protéger de ce bug est d’utiliser le navigateur anonyme Tor, ou bien le système d’exploitation portatif et chiffré TAILS. Les utilisateurs peuvent également créer une nouvelle adresse Zcash et envoyer leurs fonds sur cette nouvelle adresse, qui restera sécurisée.
De son côté, le Zcash a livré une modification d’urgence du code source, afin de corriger le bug. Un communiqué peu loquace de l’altcoin rappelle que « ce problème ne fait pas courir de risques de vols ou de contrefaçons aux fonds » qui sont présents sur les adresses.
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌