Zcash社区成员找到ZecWallet的伪造版本

发表于 2019年10 月21日星期一下午 8:00:42

Zcash（ZEC）社区的成员发现了ZecWallet的可疑且可能是恶意的伪造版本。 Twitter的一个帖子在10月20日公布了此消息，并指出该钱包可能包含恶意软件。

Zcash的开发人员Electric Coin Company转推了该帖子，内容为：

all️PSA所有Zcash用户有一个伪造的ZecWallet版本可能包含恶意软件（大小和校验和不同），请仔细检查您从GitHub上的官方@zecwallet存储库下载的内容：https://t.co/EpMyH5iCdp @ElectricCoinCo @ZcashFoundation @zooko pic.twitter。 com / N9HklOH6gn

— mine Zcashᙇ?️ᙇ（@mineZcash）2019年10月20日

该推文包含一个截图，其中显示了假钱包。根据屏幕截图，钱包的创建者向用户保证安装该钱包将使他们能够充分使用ZecWallet。因此，它提到用户将能够使用透明和屏蔽的地址。最重要的是，创建者指出钱包将具有几个新功能。这些功能包括深色模式功能，翻译更新，地址验证以及其他较小的错误修复和改进。

但是，据发现的成员称，伪造钱包的创建者为下载钱包提供了错误的地址。此外，开发人员使用了错误的徽标。

Zcash Woes

在此之前，有报告披露，所有Zcash版本中的错误及其大部分分支都构成了严重威胁。 Komodo（KDM）的开发人员Duke Leto在9月27日发现了此错误。据他称，利用此错误可能会泄漏元数据，其中包含带有受屏蔽地址（zaddr）IP的完整节点的元数据。

莱托说，

自从Zcash和Zcash协议问世以来，所有受屏蔽的地址都存在一个错误。它存在于所有Zcash源代码分支中。可以找到拥有屏蔽地址（zaddr）的完整节点的IP地址。也就是说，爱丽丝给鲍勃一个zaddr付款，实际上可以允许鲍勃发现爱丽丝的IP地址。这与Zcash协议的设计大相径庭。

Per Leto认为，此漏洞对发布zaddr或将其提供给第三方的任何人都构成威胁。