Zcash a corrigé une faille majeure qui aurait permis à des acteurs malveillants de détourner des fonds depuis le pool shielded Sprout déprécié du protocole.

Résumé

• Zcash a corrigé une faille critique dans les nœuds zcashd qui omettaient la vérification des preuves dans le pool legacy Sprout, un bug qui aurait pu exposer plus de 25 000 ZEC à un risque de détournement potentiel.
• La vulnérabilité est restée présente de juillet 2020 jusqu’à la sortie de la v6.12.0, sans exploitation détectée et avec tous les fonds des utilisateurs confirmés comme sûrs.

Un rapport de divulgation du chercheur en sécurité Alex « Scalar » Sol, publié mardi, affirme qu’une faille critique a été découverte dans des nœuds zcashd, entraînant le fait de sauter la vérification des preuves pour des transactions impliquant le pool legacy Sprout.

Aucun fonds utilisateur perdu

Le pool Sprout de Zcash est le « pool shielded » original, lancé avec le réseau en 2016. Il s’agissait de la première implémentation de preuves à connaissance nulle (zk-SNARKs) dans une crypto-monnaie de production, permettant aux utilisateurs d’envoyer et de recevoir des ZEC de manière privée.

Bien que le pool ait été fermé aux nouveaux dépôts en novembre 2020, il en détient toujours environ 25 424 ZEC, qui ne sont pas encore migrées vers des versions plus récentes du pool shielded.

Selon la divulgation, la vulnérabilité s’étendait aux versions à partir de juillet 2020, mais a été corrigée via v6.12.0, publiée mardi. À ce jour, la faille n’a pas été exploitée et les fonds des utilisateurs restent en sécurité.

De grands pools miniers, dont Luxor, F2Pool, ViaBTC et AntPool, ont déjà déployé la correction d’ici le 26 mars, indique le rapport.

Le rapport ajoute que l’implémentation du nœud complet Zebra n’était pas concernée. En cas de tentative d’exploitation, cela aurait entraîné un fork de la chaîne, agissant comme une protection supplémentaire.

Malgré la gravité du problème, l’équipe de développement ouvert de Zcash a précisé que le mécanisme de « tourniquet » (turnstile) du réseau, qui impose que toute pièce quittant le pool Sprout ait auparavant été y entrée, aurait empêché une inflation plus large de l’offre.

Pour le réseau Zcash, cela marque la deuxième fois qu’une vulnérabilité critique et systémique est découverte au sein de ses pools shielded. En 2019, l’équipe Zcash a divulgué un bug de « contrefaçon » (« counterfeiting »), une faille dans la cryptographie sous-jacente qui aurait pu permettre à un attaquant de créer une quantité infinie de ZEC sans détection.