Исследователи компании 360 Core Security рассказали о новой атаке, в ходе которой злоумышленники похищают криптовалюту прямиком из пула Equihash. Атака возможна благодаря логической уязвимости в алгоритме equihashverify, используемом для проверки достоверности математического утверждения. Поскольку equihashverify раньше использовался в Zcash и других криптовалютах, уязвимость является широко распространенной.
Уязвимость затрагивает не сам алгоритм Equihash, а реализацию средства верификации. Proof-of-Work алгоритм Equihash был разработан учеными Университета Люксембурга и в апреле 2016 года интегрирован с Zcash для обеспечения безопасности, конфиденциальности и устойчивости к ASIC-майнингу.
Уязвимость связана с тем, как алгоритм производит вычисления, hdr означает заголовок блока, а soln отвечает за определение решений, добавляемых пользователями в Equihash. Однако алгоритм содержит ряд уязвимостей, позволяющих обходить реализованное в нем средство верификации для любого заголовка блока.
Proof-of-Work – алгоритм защиты распределенных систем от различных атак, предполагающий выполнение достаточно сложных и продолжительных задач. Эти задачи предназначены не для человека, а для компьютера и требуют больших вычислительных мощностей.
