Innerhalb des Zcash-Audits: Warum das anonyme Blockchain-Projekt $ 250k auf einem Trial By Fire

Eine Venture-backed cryptocurrency mit dem Versprechen, wirklich anonyme Transaktionen zur Verfügung zu stellen, ist geplant, in Beta heute zu starten, ein Umzug, der die neuesten in einem detaillierten und teuren Prozess markieren wird, um zu helfen, so viele Bugs wie zu gewährleisten möglich, bevor seine Blockkette die realen Transaktionen unterstützt.

Zcash wurde von einer Gabel der Bitcoin-Blockkette entworfen, um die Adressen der beiden an einer Transaktion teilnehmenden Kontrahenten sowie den gezahlten Betrag zu verbergen.

Wenn es erfolgreich ist, könnte die privatorientierte, öffentliche Blockkette schließlich die Grundlage für ein Ökosystem verteilter Anwendungen bilden, die sowohl von Verbrauchern als auch von Großbanken gebaut wurden, die nach einem privateren Mittel suchen, um zu handeln.

Nicht nur die Augen der Cryptocurrency-Community, die diese Entwicklung genau beobachtet, aber so sind die Hacker auf der Suche nach einem hochwertigen Ziel.

So, um die Solidität dieses neuen Protokolls zu gewährleisten, verbringen die Schöpfer der Währung, Zcash Electric Coin Company, ein Viertel ihrer letzten $ 1m Venture Capital Investition, um drei separate Wirtschaftsprüfungsgesellschaften einzustellen. Die High-Stakes-Umgebung, in der sogar konkurrierende Kryptokurrenzen für einen höheren Standard der Due Diligence profitieren könnten, laut Veteran Kryptograph Zooko Wilcox, einer der Zcash-Gründer.

Er sagte:

"Die traurige, unglückliche Tatsache ist, dass es mit einer großen Codebasis unmöglich ist, alle Bugs zu finden. Wenn du diese Art von Sicherheitsprozess machst, musst du einen Bereich von dem, was am gefährlichsten ist, wählen . "

Auf die Adresse des Problems fokussierte Wilcox die Aufmerksamkeit der Auditoren auf die Änderungen, die sein Team auf den Code des Bitcoin-Protokolls gemacht hat.

Nach sieben Jahren ohne Hacken kann man diesen Teil zumindest mit etwas Vertrauen beiseite legen.

Zcash verkleinerte insbesondere seinen Umfang auf sechs Komponenten, darunter die auf libsnark aufgebaute zkSNARK-Kryptographie, die kryptografische Konstruktion der "zk-SNARK-Schaltung" und den Equihash-Proof-of-Work-Algorithmus.

"Es gibt keine Möglichkeit, auf eine große Codebasis zu schauen und zu wissen, dass es im Allgemeinen sicher ist", sagte Wilcox. "Du musst einen großen grauen Bereich betrachten, der sicherer oder sicherer ist."

A Ziel bewegen

Der erste Schritt bei der Durchführung eines Audits besteht darin, die Auditoren auszuwählen. Während dies offensichtlich erscheinen mag, ist der eigentliche Prozess der Auswahl der Auswahl nicht immer einfach, da die Zusammenarbeit viel Vertrauen erfordert und schwierige Gespräche beinhalten kann.

Für das erste Audit von Zcash, das seit August im Gange ist, rief Wilcox in der in London ansässigen NCC Group, einem Partner aus einer früheren Prüfung, die er mit einer eigenen Sicherheitsfirma Least Authority leitete.

Der öffentlich gehandelte NCC-Konzern-Sicherheitsberater Alex Balducci war beauftragt, Drittanbieter-Abhängigkeiten wie eine libsnark zu analysieren. Speziell brach Balducci die Analyse in zwei Kategorien ein: Überprüfung der Implementierung des Zcash-Protokolls und eines Audits des Quellcodes.

Frühe Schlussfolgerungen des Audits führten zu mehreren Empfehlungen, die Zcash entwickelt haben. Speziell hat er sich für die Einbeziehung von Werkzeugen für die Identifizierung von Codierungsproblemen während der Entwicklung eingesetzt.

"Dieser Prozess sollte etwas sein, das alle Aspekte eines Unternehmens berührt", sagte Balducci zu CoinDesk. "Die Entwickler sollten ein Bewusstsein für die verschiedenen Sicherheitsprobleme haben, es sollten Richtlinien eingeführt werden, um die sich ändernden Sicherheitsbedrohungen, Audits zu verbessern und anzupassen sollte durchgeführt werden und plant für Worst-Case-Szenarien gebildet. "

Guns und

Frappuccinos Später in diesem Monat wird NCC Group von zwei anderen Auditoren in den Prozess der Minimierung von Bugs und anderen Schwachstellen in der Code.

Zcash beauftragt die Firma, bestimmte Bedrohungen, Protokolle und Algorithmen zu validieren, die nur für Kryptokurrenzen auftreten, zum Teil der argentinischen Coinspect-Geschichte der Veröffentlichung von "innovativen" Protokolldesigns.

Der Gründer der Veteranen-Sicherheitsfirma, die die Implementierungen einschließlich Bitcoin Core, Ethereum, Monero, Gegenpartei und Bitcoinj auditiert hat, sagt, dass Kryptokurrenzen ein besonders verlockendes Ziel darstellen, weil einige der Daten auf dem Spiel auch einen entsprechenden Tokenwert haben.

CoinSpects Juliano Rizzo verglichen den Start von Zcash mit dem Start von Bitcoin. Er sagte, dass wenn Bitcoin gestartet wurde, gab es nur wenige, wenn irgendwelche Leute mit den vielfältigen Fähigkeiten notwendig sind, um eine KryptoWelt zu beherrschen - Fähigkeiten, die er schätzt, gehören Kryptographie, Vertrautheit mit GPU-Interna, Bewusstsein für ASIC-Design, Regulierung, Wirtschaft und soziale Dynamik.

Eine Strategie Rizzo sagte, er suche in seinen Kunden zu helfen, das Risiko von Diebstahl zu reduzieren ist intelligente Verträge, die es Unternehmen ermöglichen, die Krypto-Währung in der Kühllagerung zu speichern, und das schließt reversible zeitgesperrte Gewölbe ein, so dass "illegal ausgelöste" Transaktionen umgekehrt werden können.

Aber auch als Abwehrkräfte gegen Hacks sind seit den frühen Tagen von Bitcoin anspruchsvoller geworden, also die Angreifer zu haben.

Rizzo sagte:

"Um die Taschen von Bargeld von einer Bank in wenigen Minuten zu stehlen, brauchst du eine Bande mit verschiedenen Fähigkeiten, darunter Brennen von Pistolen und Graben von Tunneln, während sie vorgeben, Butter-Cookies zu verkaufen. Ein Krypto-Durationsdiebstahl kann weitergeführt werden leise von einem einzigen Hacker, der einen Frappuccino in einem Kaffeehaus genießt. "

Die größere Verantwortung

Ein weiterer Auditor, der im September mit der Arbeit beginnen soll, ist Alexander Peslyak, besser bekannt als Solar Designer. Sein besonderer Schwerpunkt lag auf dem Equihash-Proof-of-Work-Algorithmus.

Neben dem Gründer und CTO von Openwall ist Solar Designer ein Berater des Open Source Computer Emergency Response Teams, das Sicherheitsunterstützung für Open-Source-Projekte bietet.

Im Interview mit CoinDesk erklärte Solar Designer die schwierige Aufgabe, dass andere Gründer, die kryptographisch gestaltete Startups bauen, beim Versuch, die nahezu unmögliche Aufgabe, eine vollständig gebuchte Codebasis mit einem begrenzten Budget zu schaffen, auszugleichen.

Solar Designer stimmte mit Aussagen überein, die einzeln von jedem der anderen Auditoren gemacht wurden, dass eine perfekt gebuchte Codebasis einer "nicht trivialen" Größe "nicht nur nicht erreicht werden kann - es kann nicht einmal definiert werden."

Sogar bei einem Haushaltsbudget von 250.000 US-Dollar war Zcash gezwungen, den Umfang seiner Bemühungen auf diejenigen Bereiche zu beschränken, die noch nicht weitgehend debuggen.

Aber für Start-ups, die nicht gefördert werden oder keine andere Quelle von Kapital haben, sagte Solar Designer, dass das Niveau der Due Diligence erforderlich von Projekt zu Projekt erforderlich. Am Ende hat er gesagt, es liegt an den Auditoren selbst, die Grenzen jedes Projekts zu vermitteln.

Aber das bedeutet nicht, dass die Sorgfalt optional ist.

"Es ist typisch, den Umfang auf das Budget anzupassen, und die Reichweite kann um eine Größenordnung oder mehr variieren", schrieb er. "Das kann sich nicht leisten."

Die Halbwertszeit von Zweifel '

Zcash ist geplant, um in Beta starten heute mit all seinen Funktionen live.

Aber Wilcox ist bestrebt, die Anhäufung einer großen Menge an Reichtum auf die Blockkette zwischen jetzt und die volle Markteinführung, die am 28. Oktober stattfinden wird, zu entmutigen.

Sogar dann, er sagte, er hofft, dass die Wachstumsrate des Währungswertes langsam auftritt.

Wenn eine Codebasis genug kompliziert ist, gibt es wirklich keine Garantien. Er nennt es das "Halbwertsalter des Zweifels" oder die Vorstellung, dass jedes Jahr, das ohne Hacken vergeht, sein Vertrauen zunimmt - aber es kann niemals absolute Gewissheit erreichen.

Obwohl Zcash auf der noch nicht gehackten Bitcoin-Codebasis basiert, sagte Wilcox, dass er nicht zu 100% zuversichtlich ist, dass es eines Tages nicht kompromittiert werden könnte.

"Das Einzige, was mich zufrieden stellen wird", sagte Wilcox, "ist das, wenn Jahre und Jahre mit mehr und mehr Geld umgehen."

Trial by fire

Es gibt zwei Möglichkeiten, die Sicherheit zu gewährleisten ein System.

Das erste ist, was der Sicherheitsexperte Bruce Schneier als "Sicherheit durch Dunkelheit" in einem Artikel von 2008 beschrieben hat. Dies war wohl der Zustand der Sicherheit von Bitcoin durch seine frühen Jahre, als nur wenige Menschen wussten, dass es existierte, und diejenigen, die es taten, sind im Allgemeinen geglaubt, dass die Kryptocurrency die besten Interessen im Auge hatte.

Die zweite Form der Sicherheit ist das, was Wilcox "Trial by Fire" nennt.

Monate bevor er Auditoren anstellte, um den Code auseinander zu nehmen und nach Schwächen zu suchen, wurde der Code auf Github veröffentlicht und die Öffentlichkeit wurde eingeladen, zu suchen für Bugs. Infolgedessen wurden mehrere Schwachstellen identifiziert, noch bevor die formalen Audits begannen.

Aber die tatsächlichen Bugs in einem komplexen System wie eine cryptocurrency Codebasis ausgesetzt sind ein Faktor der tatsächlichen Bugs, und die Belichtung oder Wert, Reiten auf dem Produkt, nach Wilcox.

Das Einladen zusätzlicher externer Auditoren zur Überprüfung des Cryptocurrency-Codes beschleunigt diese Belichtungsrate.

Wilcox schloß:

"Du zwängst dich, nicht durch einen Feuerprozeß zu gehen, und du willst es von so vielen Augen wie möglich sehen."

Haftungsausschluss:

CoinDesk ist eine Tochtergesellschaft von Digitale Währungsgruppe, die eine Beteiligung an Zcash hat. Feuerkohle Bild über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die für die höchsten journalistischen Standards strebt und hält sich an eine strenge Reihe von redaktionellen Richtlinien. Sie interessieren sich für Ihr Know-how oder Einblick in unsere Berichterstattung? Kontaktieren Sie uns unter news @ coindesk. com