Inde i Zcash Audit: hvorfor Anonym Blockchain-projektet brugte $ 250k på et forsøg ved brand | DK.democraziakmzero.org

Inde i Zcash Audit: hvorfor Anonym Blockchain-projektet brugte $ 250k på et forsøg ved brand

Inde i Zcash Audit: hvorfor Anonym Blockchain-projektet brugte $ 250k på et forsøg ved brand

En venture-backed cryptocurrency med løftet om at give anonyme transaktioner er planlagt til at starte i beta i dag, et skridt, der vil markere den seneste i en detaljeret og dyr proces at hjælpe med at sikre så mange fejl som muligt fjernes før dens blockchain understøtter reelle transaktioner.

Lavet fra en gaffel af Bitcoin blockchain, Zcashis designet til at sløre adresserne på både de modparter, der deltager i en transaktion, samt at det pågældende beløb.

Hvis det lykkes, kan privatliv-orienterede, offentlig blockchain sidst danner grundlaget for et økosystem af distribuerede applikationer bygget af både forbrugere og store banker på udkig efter en mere privat måde at handle.

Ikke alene er de øjne cryptocurrency samfund nøje watchingthis udvikling, men så er vordende være hackerslooking til en høj værdi mål.

Så for at hjælpe med at sikre et sundt denne nye protokol, er den valuta skabere, Zcash Electric Coin Company, bruger en fjerdedel af deres seneste $ 1m venturekapitalinvesteringer at ansætte tre separate revisionsfirmaer. Den high-stakes miljø, hvor selv konkurrerende cryptocurrencies måske vil kunne drage kræver en højere standard for rettidig omhu, efter veteranen cryptographerZooko Wilcox, en af ​​Zcash grundlæggere.

I et interview med CoinDesk, Wilcox forklarede vanskelighederne ved at balancere næsten umulig opgave perfekt reviderede kode, med begrænsede økonomiske ressourcer.

Han sagde:

"Den sørgelige, uheldige faktum er, at med en stor kodebase er det umuligt at finde alle de fejl. Når du laver denne form for sikkerhed proces, du nødt til at vælge et omfang på, hvad der er mest farlige."

Til adressen problemet, Wilcox fokuserede revisorernes opmærksomhed på de ændringer hans hold har foretaget i Bitcoin protokol kode.

Efter syv års drift uden et hack, at en del i det mindste, kan afsættes med i det mindste nogle tillid.

Især Zcash indsnævret anvendelsesområdet til seks komponenter, herunder zkSNARK kryptografi bygget på libsnark, den kryptografiske opførelsen af ​​"zkSNARK kredsløb" og Equihashproof-of-arbejde algoritme.

"Der er ikke nogen måde at se på en stor kodebase og ved, at det er sikkert i almindelighed," sagde Wilcox. "Du er nødt til at se på en stor gråzone, der er mere sikre eller mindre sikker."

A bevægeligt mål

Det første skridt i at udføre en revision er at vælge revisorerne. Selvom det kan synes indlysende, selve processen med at gøre valget er ikke altid let, da samarbejdet kræver en masse tillid og kunne omfatte vanskelige samtaler.

For Zcash første revision, som har været i gang siden august, Wilcox kaldte i London-baserede NCC-koncernen, en partner fra en tidligere revision han conductedwith sit eget vagtfirma, Mindst Authority.

Den børsnoterede NCC Koncernens væsentligste sikkerhedskonsulent, Alex Balducci, fik til opgave at analysere tredjeparts afhængigheder sådan libsnark. Konkret Balducci brød ned analysen i to kategorier: en gennemgang af gennemførelsen af ​​Zcash protokol og en revision af kildekoden.

Tidlige konklusionerne af revisionen resulterede i flere anbefalinger, der involverer den måde Zcash er udviklet. Konkret har han slået til lyd for inddragelse af værktøjer til at hjælpe identificere kodning problemer under udvikling.

"Denne proces bør være noget, der berører alle aspekter af en virksomhed," Balducci fortalte CoinDesk. "Udviklere skal have en bevidsthed om de forskellige sikkerhedsspørgsmål, bør politikkerne sættes på plads for at forbedre og tilpasse sig skiftende sikkerhedstrusler, bør revisioner udføres og planer for worst-case scenarier dannet."

Kanoner og Frappuccinos

Senere i denne måned, vil NCC Group følgeskab af to andre revisorer i færd med at hjælpe minimere fejl og andre sårbarheder i koden.

Delvis på grund af Argentina-baserede Coinspect historie om udgivelse "innovative" protocol design, Zcash pålagde virksomheden at validere specifikke trusler, protokoller og algoritmer, der kun opstår for cryptocurrencies.

Grundlæggeren af ​​veteran sikkerhedsfirma, der har revideret implementeringer herunder Bitcoin Core, ethereum, monero, modpart og bitcoinj siger, at cryptocurrencies bevise en særlig dragende mål, fordi nogle af de data, der er på spil også har en tilsvarende symbolsk værdi.

CoinSpect s Juliano Rizzo sammenlignet lanceringen af ​​Zcash med lanceringen af ​​Bitcoin. Han sagde, at når Bitcoin lanceret, var der kun få, hvis nogen mennesker med forskelligartede færdigheder er nødvendige for at hacke en cryptocurrency - færdigheder, som han anslår omfatter kryptografi, kendskab til GPU-internals, bevidsthed om ASIC-design, regulering, økonomi og sociale dynamik.

Én strategi Rizzo sagde, at han kigger efter i hans klienter at hjælpe med at reducere risikoen for tyveri er smarte kontrakter, der tillader virksomhederne at gemme cryptocurrency i kølerum, og som omfatter reversible tid-låst hvælvinger så "ulovligt udløst" transaktioner kan vendes.

Men selv som forsvar mod hacks er blevet mere sofistikerede siden de tidlige dage af Bitcoin, så at få angriberne.

Rizzo sagde:

"For at fysisk stjæle poser med kontanter fra en bank i minutter, du har brug for en bande med forskellige færdigheder, herunder fyring geværer og grave tunneler, mens foregiver at sælge smør cookies. En cryptocurrency tyveri kan gennemføres på stille og roligt ved en enkelt hacker nyder en Frappuccino i en café."

Den større ansvar

En anden revisor planlagt til at begynde at arbejde i september er Alexander Peslyak, bedre knownas Solar designer. Hans særlig fokus var på den Equihash proof-of-arbejde algoritme.

Ud over at være grundlægger og CTO for Openwall, Solar Designer er rådgiver for Open Source Computer Emergency Response Team, der giver sikkerhed support til open source-projekter.

I interview med CoinDesk, Solar Designer forklarede den vanskelige opgave, som andre grundlæggere bygning kryptografisk baserede nystartede ansigt, når de forsøger at afbalancere næsten umulig opgave at skabe en helt fejlrettet kodebase med et begrænset budget.

Solar Designer aftalt med erklæringer individuelt af hver enkelt af de andre revisorer, at en perfekt fejlrettet kodebase af nogen "ikke-triviel" størrelse "ikke blot ikke kan opnås -. Det kan ikke engang defineres"

Selv med en $ 250.000 auditering budget, blev Zcash tvunget til at begrænse omfanget af sine bestræbelser på at netop de områder, der blev ikke allerede i vid udstrækning fejlrettet.

Men for nystartede, der ikke er finansieret eller ikke har en anden kilde til kapital, Solar Designer sagde, at niveauet for rettidig omhu krævede ændringer fra projekt til projekt. I sidste ende, sagde han, det er op til revisorerne selv at kommunikere de begrænsninger af hvert projekt.

Men det betyder ikke, at flid er valgfrit.

"Det er typisk at justere rækkevidden til budgettet, og udvalget kan variere med en størrelsesorden eller mere," skrev han. "Kan ikke råd til noget? Det er hård."

Den 'halveringstid tvivl'

Zcash er planlagt til at starte i beta i dag med alle dens funktioner lever.

Men Wilcox søger at modvirke ophobning af nogen stor mængde af rigdom på blockchain mellem nu og den fulde lancering dømt til at ske den 28. Af oktober.

Selv da, sagde han han håber væksten-satsen for valutaens værdi sker langsomt.

Hvis en kodebase er kompliceret nok, er der virkelig ikke er nogen garantier. Han kalder det "halveringstid tvivl", eller tanken om, at der hvert år der går uden en hack hans tillid stiger - men det kan aldrig nå absolut sikkerhed.

Selvom Zcash er baseret på de endnu ikke-hacket Bitcoin kodebase, Wilcox sagde han er ikke 100% sikker på, det er måske ikke en dag blive kompromitteret.

"Det eneste, der vil gøre mig tilfreds," sagde Wilcox, "er, at hvis år og årene går med flere og flere penge."

Trial ved brand

Der er to måder til at sikre sikkerheden i et system.

Den første er, hvad sikkerhedsekspert Bruce Schneier berømt beskrevet som "sikkerhed gennem dunkelhed" i en 2008 artikel. Dette, velsagtens, var tilstanden af ​​Bitcoin sikkerhed gennem sine tidlige år, hvor få mennesker vidste det eksisterede, og dem, der gjorde generelt menes at have haft den cryptocurrency bedste interesser for øje.

Den anden form for sikkerhed er dog hvad Wilcox kalder "ildprøve."

Måneder før han hyrede revisorer til at tage fra hinanden koden og se efter svagheder, blev koden offentliggjort på Github og offentligheden var invitedto søge efter fejl. Som følge heraf blev flere sårbarheder identificeret endnu før den formelle revisioner begyndte.

Men den egentlige fejl eksponeret i et komplekst system som en cryptocurrency kodebase er en faktor af de faktiske fejl, og eksponeringen, eller værdi, ridning på produktet, i henhold til Wilcox.

Indbydende yderligere eksterne revisorer til at gennemgå cryptocurrency kode accelererer denne sats for eksponering.

Wilcox konkluderede:

"Du tvinger dig selv ikke at gå gennem en retssag ved brand. Og du ønsker det at blive set af så mange øjne som muligt."

Ansvarsfraskrivelse: CoinDesk er et datterselskab af Digital Valuta Group, der har en ejerandel i Zcash.

Relaterade nyheter


Post Altcoin

MASTer Plan: Bedre Bitcoin Smart Kontrakter kunne gå live i år

Post Altcoin

Apriva Partners med GoCoin til at tilbyde Bitcoin og Altcoin Betalinger

Post Altcoin

Altcoin Uptick slutter som Bitcoin Priser Pass $ 1.050

Post Altcoin

Californiens Bitcoin Bill Shelved af Stat Senator

Post Altcoin

Microsoft Azures CTO ønsker Blockchain at forbinde enhver industri

Post Altcoin

Appcoin Law: ICOer den rigtige måde

Post Altcoin

7 diagrammer, der viser et år for vækst for Bitcoin-pengeautomater

Post Altcoin

Optimering af SegWit: Hvordan Bitcoins nye software giver scaling en boost

Post Altcoin

Andet liv? Mislykkedes DAO-skabere laver et tilbagekobsbud

Post Altcoin

Bitcoin Exchange Operator Anklaget for Credit Union Capture

Post Altcoin

Passionen af Bitcoin Jesus: Hvordan Blockchains mest elskede investor blev den mest polariserende

Post Altcoin

Banker skærer slips med Isle of Mans Bitcoin Industry