Zcash a corrigé une vulnérabilité critique qui menaçait la sécurité de plus de 25 000 ZEC, d'une valeur d'environ 6,5 millions de dollars.

Mars Finance a annoncé que la cryptomonnaie axée sur la confidentialité Zcash a récemment dévoilé et corrigé une faille de sécurité critique, qui pourrait être exploitée par des mineurs malveillants. La faille a permis de transférer plus de 25 000 ZEC (environ 6,5 millions de dollars) depuis l’ancienne piscine de confidentialité Sprout, désormais abandonnée. Le chercheur en sécurité Alex “Scalar” Sol a révélé ce problème le 23 mars : la faille provient du fait que le nœud zcashd saute la vérification des preuves lorsqu’il traite des transactions impliquant le pool Sprout. L’officiel a indiqué que la faille existe depuis juillet 2020, mais n’a jamais été exploitée en pratique ; les fonds des utilisateurs sont restés en sécurité. L’équipe de développement a publié la version v6.12.0 pour finaliser la correction, et les principaux pools de minage ont terminé la mise à niveau et le déploiement en quelques jours. En outre, les implémentations de nœud complet Zebra non concernées possèdent la capacité de déclencher une bifurcation de chaîne, ce qui peut offrir une protection supplémentaire lorsque la faille est exploitée. D’après les informations divulguées, même si le pool Sprout a fermé les nouveaux dépôts en novembre 2020, il reste environ 25 424 ZEC qui n’ont pas été migrées. Même si la faille est exploitée, le mécanisme « turnstile » de Zcash peut empêcher l’émission inflationniste supplémentaire, garantissant que la quantité totale en circulation ne soit pas dépassée. Cette vulnérabilité a été découverte avec l’aide de l’IA ; le chercheur recevra une prime totale de 200 ZEC (environ 51 000 dollars). À noter que ce n’est pas la première fois que Zcash subit une faille majeure : dès 2019, l’implémentation avait déjà corrigé un défaut grave pouvant entraîner une émission infinie.