Kerentanan Zcash yang Membuat Jutaan Dolar ZEC Berisiko Telah Diperbaiki

Singkatnya

• Seorang peneliti keamanan menemukan kerentanan kritis pada node Zcash yang melewati verifikasi bukti untuk kumpulan (pool) Sprout shielded yang sudah dinonaktifkan.
• Beberapa kumpulan penambangan utama menerapkan tambalan dalam waktu tiga hari, sementara pengembang Zcash merilis v6.12.0 pada hari Selasa.
• Mekanisme “turnstile” milik Zcash akan mencegah inflasi suplai yang lebih luas, bahkan jika pool tersebut telah dikompromikan.

Seorang peneliti keamanan menemukan kerentanan kritis pada node Zcash yang dapat memungkinkan penambang berbahaya menguras lebih dari 25.000 ZEC dari pool Sprout shielded yang sudah dinonaktifkan milik jaringan—jumlah yang bernilai sekitar $6,5 juta pada saat penulisan.

Alex “Scalar” Sol mengungkapkan celah tersebut pada 23 Maret, menurut laporan pengungkapan yang dirilis pada hari Selasa, yang mengungkap bahwa node zcashd melewati verifikasi bukti untuk transaksi yang melibatkan pool Sprout versi lama. Bug tersebut tidak dieksploitasi dan dana semua pengguna tetap aman, menurut pengungkapan itu.

Kerentanan mencakup rilis dari Juli 2020 hingga saat ini, dengan pengembang Zcash merilis v6.12.0 pada hari Selasa untuk menanggulangi perbaikan tersebut. Pool penambangan utama bergerak cepat untuk menambal sistem mereka—pool penambangan Luxor mengonfirmasi penerapan pada 25 Maret, sementara F2Pool, ViaBTC, dan AntPool semuanya menerapkan perbaikan tersebut pada 26 Maret, menurut laporan yang sama.



Implementasi full node Zebra tidak terdampak oleh kerentanan tersebut, kata laporan itu, dan akan memicu fork rantai jika eksploitasi dicoba, sehingga memberikan lapisan perlindungan tambahan bagi jaringan.

Sol, yang menemukan kerentanan itu dengan bantuan AI, melaporkannya ke Shielded Labs pada 23 Maret. Organisasi tersebut berkoordinasi dengan Zcash Open Development Lab (ZODL), yang insinyurnya Jack “str4d” Grigg menulis tambalan.

Untuk pengungkapannya, Sol akan menerima total bounty 200 ZEC—senilai di atas $51.000—dengan Shielded Labs, ZODL, Zcash Foundation, dan Bootstrap masing-masing berkontribusi 50 ZEC.

Pool Sprout ditutup untuk setoran baru pada November 2020, sehingga menjadi komponen yang sudah dinonaktifkan namun masih aktif, dengan nilai kira-kira 25.424 ZEC yang belum dimigrasikan pengguna ke versi pool shielded yang lebih baru.

Meskipun kerentanan itu dapat memungkinkan pengurasan dana-dana ini, Zcash Open Development Team (ZODL) mengatakan bahwa mekanisme “turnstile” milik Zcash akan mencegah inflasi suplai yang lebih luas. Turnstile mensyaratkan bahwa setiap koin yang keluar dari pool Sprout harus masuk ke dalamnya secara terverifikasi, sehingga menciptakan pengaman terhadap pembuatan token baru di luar total peredaran jaringan yang sekitar 16,63 juta ZEC.

Ini bukan pertama kalinya jaringan menghadapi kerentanan besar. Pada 2019, jaringan menambal bug yang dijelaskan sebagai generator kripto “pemalsuan tak terbatas”, meskipun bug tersebut ditambal sebelum menjadi masalah besar bagi jaringan koin privasi.

Zcash adalah peraih kenaikan terbesar dalam 24 jam terakhir di antara 100 koin teratas berdasarkan kapitalisasi pasar, menurut data CoinGecko, naik lebih dari 14% ke harga terbaru di atas $255. Harga koin privasi itu melonjak tajam musim gugur lalu dari sekitar $50 menjadi puncak multi-tahun mendekati $700, tetapi telah turun bersamaan dengan Bitcoin dan mata uang kripto lainnya dalam beberapa bulan terakhir.

Newsletter Daily Debrief

Mulailah setiap hari dengan berita utama teratas saat ini, ditambah fitur orisinal, sebuah podcast, video, dan lainnya.

Email Anda

Dapatkan!

Dapatkan!