Odailyほしぞらデイリー通信:プライバシーコインの Zcash は最近、悪意のあるマイナーに悪用される可能性のある重要なセキュリティ脆弱性を開示し、修正した。この脆弱性により、すでに廃止された Sprout プライバシープールから 25,000 枚超の ZEC(約 650 万ドル)が移されていた可能性がある。セキュリティ研究者の Alex “Scalar” Sol は 3 月 23 日に、この脆弱性は Sprout プールに関わる取引を処理する際、zcashd ノードが証明検証をスキップしていたことに起因すると開示した。公式発表によれば、この脆弱性は 2020 年 7 月以来継続して存在していたが、実際には悪用されておらず、ユーザー資金は常に安全だった。開発チームは、修正を完了した v6.12.0 版をリリースしており、大手マイニングプールは数日以内にアップグレードとデプロイを完了している。さらに、影響を受けない Zebra のフルノード実装には、チェーンの分岐をトリガーする能力があり、脆弱性が悪用された場合に追加の保護を提供できる。開示情報によれば、Sprout プールは 2020 年 11 月に新規入金を停止していたものの、移行されていない約 25,424 枚の ZEC が残っているという。たとえ脆弱性が悪用されたとしても、Zcash の「turnstile」メカニズムによりインフレ目的の追加発行が防止され、総供給量が上限を超えないことが保証される。今回の脆弱性は AI の支援によって発見され、研究者には合計 200 枚の ZEC(約 5.1 万ドル)の賞金が支払われる。なお、これが Zcash にとって初めての重大な脆弱性ではないことに注意が必要だ。2019 年には、無限の追加発行につながり得る深刻な欠陥を修正していた。(Decrypt)
Zcashの重大な脆弱性を修正:2万5千以上のZECの安全性が脅かされていた、価値は約650万ドル
Odailyほしぞらデイリー通信:プライバシーコインの Zcash は最近、悪意のあるマイナーに悪用される可能性のある重要なセキュリティ脆弱性を開示し、修正した。この脆弱性により、すでに廃止された Sprout プライバシープールから 25,000 枚超の ZEC(約 650 万ドル)が移されていた可能性がある。セキュリティ研究者の Alex “Scalar” Sol は 3 月 23 日に、この脆弱性は Sprout プールに関わる取引を処理する際、zcashd ノードが証明検証をスキップしていたことに起因すると開示した。公式発表によれば、この脆弱性は 2020 年 7 月以来継続して存在していたが、実際には悪用されておらず、ユーザー資金は常に安全だった。
開発チームは、修正を完了した v6.12.0 版をリリースしており、大手マイニングプールは数日以内にアップグレードとデプロイを完了している。さらに、影響を受けない Zebra のフルノード実装には、チェーンの分岐をトリガーする能力があり、脆弱性が悪用された場合に追加の保護を提供できる。開示情報によれば、Sprout プールは 2020 年 11 月に新規入金を停止していたものの、移行されていない約 25,424 枚の ZEC が残っているという。たとえ脆弱性が悪用されたとしても、Zcash の「turnstile」メカニズムによりインフレ目的の追加発行が防止され、総供給量が上限を超えないことが保証される。
今回の脆弱性は AI の支援によって発見され、研究者には合計 200 枚の ZEC(約 5.1 万ドル)の賞金が支払われる。なお、これが Zcash にとって初めての重大な脆弱性ではないことに注意が必要だ。2019 年には、無限の追加発行につながり得る深刻な欠陥を修正していた。(Decrypt)