Equihash 算法挖矿应用 Z-NOMP 更新
这是一个安全通知,针对使用 Z-NOMP 矿池软件进行 Equihash 挖矿的矿池。
Z-NOMP软件可以在 https://github.com/z-classic/z-nomp 下载。该修复程序已发布,用户应尽快更新其存储库的本地克隆文件:
sudo apt-get update && sudo apt-get install build-essential libsodium-dev libboost-system-dev
# cd into the current Z-NOMP install directory
git checkout master
git pull
npm update
该漏洞不会影响 ZenCash 或任何其他采用 Equihash 算法的币种本身的安全性,只会影响提交给矿池的股份验证。无效的区块永远无法被网络接受。
https://github.com/joshuayabut/equihashverify 中 Equihash 验证程序的旧版实现存在一个缺陷,会将专门设计的解决方案验证为有效。 https://github.com/HorizenOfficial/equihashverify 中的新版实现将节点绑定与 ZCash 所参考的 Equihash 验证程序实现结合使用,并成功拒绝这些解决方案。
在 3 月 6 日,一家矿池运营商联系我们并告知 Z-NOMP(一个十分常用的矿池托管应用)可能被滥用的情况。在确认问题后,ZenCash DevOps 团队开始实施修复。
DevOps 团队在 3 月 22 日完成了修复程序草案的实现和测试。完整的通知在同一天通过加密电子邮件发送给 ZCash 核心团队。由于 Bitcoin Private 社区维护着 ZClassic 托管的Z-NOMP 存储库,因此他们也收到了通知。这两个团队都获得了该修复程序的副本以及一份预估的披露时间表,概述了我们期望遵循的流程。
给予ZCash 和 Bitcoin Private 团队时间测试修复程序致使公开时间表进度有所延迟,但所有相关人员都同意在 4 月 7 日开展下一步。下一步是一个扩展的测试阶段,在这个阶段中,已知的矿池运营商会被告知该必要更新,并在更新完全发布前给予测试修复的操作指导。这一阶段在 4 月 8 日开始实施,此后许多矿池运营商已经进行了更新,目前尚未报告任何问题。
现在,我们正式公开发布此修复程序。矿池运营商必须尽快更新以保证报酬得到正确发放。
矿池运营商可以通过以下方法之一联系我们,以获得支持或解决其他任何问题:
- 发送电子邮件至 support@nullzencash.com
- 访问在线服务台,链接为 https://support.horizen.io/
- 访问 Discord 服务器上的 #pool-ops 频道
- https://discord.gg/3JRhuaj
- 联系具有管理员标志的任何成员,以便被赋予矿池运营商标志
- https://discord.gg/3JRhuaj
敬请期待我们在未来几周内再次发布更新信息,其中我们将公开初始报告人和他们凭借报告所拿到的赏金,以及我们预估的公开时间表副本和所有初始通知。我们希望在未来就处理漏洞公开的最佳方式展开讨论,并希望社区能够就我们遵循的流程或如何改进流程提供反馈。
