قامت Zcash بإصلاح ثغرة كبيرة كانت ستتيح لجهات خبيثة تصريف الأموال من مجمع Sprout المحمي القديم (المهمل) الخاص بالبروتوكول.

ملخص

• قامت Zcash بإصلاح خلل حرج في عقد zcashd التي كانت تتخطى التحقق من الإثباتات في مجمع Sprout القديم، وهي مشكلة كان من الممكن أن تكشف أكثر من 25,000 ZEC لاحتمال تصريفها.
• ظلت الثغرة موجودة من يوليو 2020 حتى إصدار v6.12.0، دون رصد أي استغلال مع تأكيد أن أموال المستخدمين جميعها آمنة.

تقرير إفصاح صادر عن باحث أمني يُدعى Alex “Scalar” Sol، نُشر يوم الثلاثاء، يزعم أن ثغرة حرجة تم اكتشافها في عقد zcashd أدت إلى تخطي التحقق من الإثبات للمعاملات التي تتضمن مجمع Sprout القديم.

لم تُفقَد أموال المستخدمين

مجمع Sprout في Zcash هو مجمع “المدفوعات المحمية” الأصلي الذي أُطلق مع الشبكة في عام 2016. كان أول تنفيذ لبراهين المعرفة الصفرية (zk-SNARKs) في عملة رقمية تُستخدم في الإنتاج، ما يسمح للمستخدمين بإرسال واستلام ZEC بشكل خاص.

على الرغم من إغلاق المجمع أمام الإيداعات الجديدة في نوفمبر 2020، فإنه ما يزال يحتفظ بحوالي 25,424 ZEC، والتي لم يتم نقلها بعد إلى إصدارات أحدث من المجمع المحمي.

وفقًا للإفصاح، امتدت الثغرة عبر الإصدارات بدءًا من يوليو 2020، لكنها تم إصلاحها عبر v6.12.0، الذي تم إصداره يوم الثلاثاء. وحتى الآن، لم يتم استغلال الخلل، وما تزال أموال المستخدمين آمنة.

أضاف التقرير أن كبريات مجمعات التعدين، بما في ذلك Luxor وF2Pool وViaBTC وAntPool، قامت بالفعل بنشر الإصلاح بحلول 26 مارس.

وأضاف التقرير أن تنفيذ عقد Zebra للكمبيوتر الكامل لم يتأثر. وفي حال محاولة استغلال، كان ذلك سيسفر عن حدوث انقسام (fork) في السلسلة، ليعمل كإجراء أمان إضافي.

رغم جسامة المشكلة، أوضح فريق Zcash Open Development Team أن آلية “الممر” (turnstile) في الشبكة، والتي تفرض أنه يجب أن تكون أي عملات تغادر مجمع Sprout قد دخلته سابقًا، كانت ستمنع تضخمًا أوسع في المعروض.

بالنسبة لشبكة Zcash، يمثل هذا المرة الثانية التي يتم فيها اكتشاف ثغرة حرجة وعِمّية داخل مجمعاتها المحمية. في عام 2019، كشفت مجموعة Zcash عن خلل “التزوير” (counterfeiting)، وهو مشكلة في التشفير الأساسي كان يمكن أن تسمح لمهاجم بإنشاء كمية لا نهائية من ZEC دون اكتشاف.