Zcash Company รายงานถึงช่องโหว่ของกระบวนการ zk-SNARK ที่ใช้ตรวจสอบความถูกต้องของรายการโอนเงินโดยไม่ต้องเปิดเผยยอดเงิน หรือหมายเลขบัญชีต้นทางและปลายทางออกสู่สาธารณะ โดยช่องโหว่นี้พบโดย Ariel Gabizon นักวิทยาการเข้ารหัสลับของ Zcash Company เอง

zk-SNARK ที่ Zcash ใช้มีการปรับปรุงประสิทธิภาพ และ Gabizon พบช่องโหว่ที่ทำให้แฮกเกอร์สามารถหลอกว่ามีเงินเพิ่มเข้ามาในระบบได้

Gabizon พบช่องโหว่เมื่อวันที่ 1 มีนาคม 2018 แล้วแจ้ง Sean Bowe นักวิทยาการเข้ารหัสลับอีกคนของบริษัทเพื่อตรวจสอบช่องโหว่นี้ เมื่อยืนยันช่องโหว่แล้วจึงแจ้ง Zooko Wilcox ซีอีโอของ Zcash Company ซึ่ง Zooko แจ้ง Nathan Wilcox CTO ของ Zcash Company อีกที ทำให้รวมมีคนรู้ช่องโหว่นี้ 4 คน

การแก้ช่องโหว่ต้องเปลี่ยนพารามิเตอร์ของกระบกวนการเข้ารหัส เพื่อไม่ให้แฮกเกอร์สังเกตความผิดปกติ ทั้งสี่คนจึงตัดสินใจว่าจะเปลี่ยนพารามิเตอร์ไปพร้อมกับการอัพเกรด Sapling เมื่อเดือนตุลาคมที่ผ่านมา การอัพเกรดเครือข่ายผ่านไปได้ด้วยดี และตอนนี้ผู้ใช้ก็ไม่ต้องทำอะไร

บริษัทระบุว่าระหว่างรอการอัพเกรดได้มอนิเตอร์เครือข่ายและพบว่าไม่มีการโจมตีเพิ่มเงินเข้ามาในระบบแต่อย่างใด โดยทีมงานเชื่อว่าหากมีการโจมตีจริง น่าจะมีร่องรอยอยู่บ้าง

รวมตั้งแต่ช่องพบช่องโหว่จนถึงการรายงานต่อสาธารณะรวมนานกว่า 11 เดือน

ที่มา - z.cash

ภาพโดย Marco Verch