Zcash исправила критическую уязвимость: ранее угрожавшую безопасности более 25 000 ZEC, стоимостью около 6,5 миллиона долларов

Odaily Planet Daily повідомляє, що приватні монети Zcash нещодавно розкрили та виправили критичну вразливість безпеки: її могли б використати зловмисні майнери, щоб перевести понад 25,000 ZEC (приблизно 6.5 млн доларів США) з уже застарілого приватного пулу Sprout. Безпековий дослідник Alex “Scalar” Sol 23 березня повідомив, що вразливість виникла через те, що вузол zcashd під час обробки транзакцій, які стосуються пулу Sprout, пропускав перевірку доказів. Офіційно заявлено, що ця вразливість існує з липня 2020 року, але на практиці її не використовували: кошти користувачів залишалися в безпеці.

Команда розробників випустила версію v6.12.0, яка завершила виправлення; основні майнінгові пули впродовж кількох днів завершили оновлення та розгортання. Крім того, реалізації повних нод Zebra, які не постраждали, мають можливість запускати фрагментацію ланцюга (chain fork), що може забезпечити додатковий захист у разі використання вразливості. Як повідомляється, хоча пул Sprout уже був закритий для нових депозитів у листопаді 2020 року, станом на зараз залишалося близько 25,424 ZEC, які ще не були мігровані. Навіть якщо вразливість буде використана, механізм “turnstile” у Zcash здатний запобігти інфляційному карбуванню додаткових монет, гарантуючи, що загальна пропозиція не буде перевищена.

Цю вразливість виявили за допомогою AI; дослідник отримає в сумі 200 ZEC (приблизно 51 тис. доларів США) винагороди. Варто зазначити, що це не перший випадок значної вразливості в Zcash: ще у 2019 році вони вже виправляли критичний дефект, який міг призводити до нескінченного карбування. (Decrypt)