Zcash corrige une vulnérabilité critique : a menacé la sécurité de plus de 25 000 ZEC, d'une valeur d'environ 6,5 millions de dollars

Odaily Planet Daily Info : La cryptomonnaie de confidentialité Zcash a récemment divulgué et corrigé une faille de sécurité critique. Cette faille pourrait être exploitée par des mineurs malveillants, leur permettant de transférer plus de 25 000 ZEC (environ 6,5 millions de dollars) depuis l’ancienne piscine de confidentialité Sprout, désormais abandonnée. Le chercheur en sécurité Alex « Scalar » Sol a divulgué la faille le 23 mars : elle provient du fait que les nœuds zcashd sautent la vérification des preuves lorsqu’ils traitent des transactions impliquant la piscine Sprout. Selon les responsables officiels, la faille persiste depuis juillet 2020, mais n’a jamais été exploitée dans la pratique ; les fonds des utilisateurs sont restés en sécurité.

L’équipe de développement a publié la version v6.12.0, qui finalise la correction. Les principaux pools de minage ont également terminé la mise à niveau et le déploiement en l’espace de quelques jours. En outre, l’implémentation des nœuds complets Zebra non concernés dispose d’une capacité à déclencher des bifurcations de chaîne, pouvant offrir une protection supplémentaire si la faille est exploitée. D’après les informations divulguées, bien que la piscine Sprout ait été fermée aux nouveaux dépôts en novembre 2020, il resterait environ 25 424 ZEC qui n’ont pas encore été migrées. Même en cas d’exploitation de la faille, le mécanisme « turnstile » de Zcash peut empêcher une émission supplémentaire inflationniste, garantissant que l’offre totale n’est pas dépassée.

Cette faille a été repérée avec l’aide de l’IA ; le chercheur recevra une prime totale de 200 ZEC (environ 51 000 dollars). À noter que ce n’est pas la première fois que Zcash fait face à une faille majeure : dès 2019, il avait déjà corrigé une grave vulnérabilité pouvant conduire à une émission infinie. (Decrypt)