24 heures après la diffusion de la version 2.1.0 de Zcash, Electric Coin Co. a publié la version 2.1.0-1 qui corrige un bug important hérité du bitcoin core sur lequel s’appuie le développement de Zcash. Explications…
Correction d’un bug de sécurité important
Le 8 novembre au matin, Electric Coin Co. a été informé via la liste de diffusion des développeurs Bitcoin d’une faille de sécurité importante, pouvant affecter les noeuds configurés avec SOCKS5 et qui passeraient par un proxy malicieux en point d’entrée du réseau. Ce pourrait être la cas, par exemple, de certains noeuds passant par le réseau Tor.
Cette anomalie majeure permettrait à un attaquant d’exécuter du code dans l’environnement du Zcashd daemon, de voler des informations confidentielles et même les fonds contenus dans le portefeuille du noeud affecté.
Tous les noeuds Zcash, ainsi configurés, avant la version 2.1.0-1 (et donc par extension les portefeuilles exécutant Zcashd tel que ZecWallet) sont exposés. Il est donc recommandé, pour tous les noeuds concernés de faire la mise à jour immédiatement. Détails techniques sur l’anomalie ici. Pour la mise à jour de Zcash sur linux référez-vous à la documentation habituelle ici. Pour les utilisateurs de ZecWallet Full Node, on peut s’attendre à voir une mise à jour apparaitre prochainement sur le Github de la Fondation Zcash
Cette vulnérabilité, qui a été introduite par erreur dans le code bitcoin en 2012, est l’occasion de rappeler quelques règles de sécurité importantes dans la gestion de vos actifs numériques tel que les crypto-monnaies et jetons (token). Ne conservez dans vos portefeuilles connectés au réseau (hot wallet mobiles ou noeuds) que les fonds d’un montant minime strictement nécessaires à vos transactions quotidiennes et que vous assumez de pouvoir perdre en cas de faille. Si vous désirez conserver des crypto-monnaies ou que vous réalisez des transactions importantes, utilisez des appareils physiques sécurisés et déconnectés du réseau (cold storage) tel que ceux offerts par Ledger Wallet.
Nouvelles fonctionnalités implémentées à partir de la version 2.1.0
La correction du bitcoin core portée sur Zcash, bien que très importante, ne doit pas occulter les améliorations apportées par les développeurs à l’occasion de la diffusion de la version 2.1.0 de Zcash :
- Support de Blossom dont l’activation sur le réseau principal (mainnet) est programmée au bloc 653600 début décembre. Cette amélioration va permettre de raccourcir le temps des blocs de moitié et donc de doubler la vitesse du réseau. Merci à Daira Hopwood pour cette évolution.
- Améliorations multiples pour la fiabilité et la sécurité tels que des mesures de mitigation en cas de tentative d’attaque DoS sur le réseau, la détection d’éventuelles fausses chaines lors du téléchargement initial des blocs par un nouveau noeud.
- Optimisation du code en supprimant le support des anciennes preuves générées par Sprout.
Tous les détails sur cette nouvelle version sont disponibles (en anglais) à l’adresse suivante : https://electriccoin.co/blog/new-release-2-1-0/
Ping : Activation de Blossom réussie ! - Zcash FR