Vulnerabilidade do Zcash que colocou milhões de dólares em ZEC em risco foi corrigida

Em resumo

• Um investigador de segurança descobriu uma vulnerabilidade crítica nos nós do Zcash que contornava a verificação de provas para o pool blindado descontinuado Sprout.
• Os principais pools de mineração aplicaram a correção no prazo de três dias, com os programadores do Zcash a lançarem a versão v6.12.0 na terça-feira.
• O mecanismo de “turnstile” do Zcash teria evitado uma inflação mais alargada da oferta mesmo que o pool tivesse sido comprometido.

Um investigador de segurança descobriu uma vulnerabilidade crítica nos nós do Zcash que poderia ter permitido a mineradores maliciosos drenar mais de 25.000 ZEC do pool blindado descontinuado Sprout da rede—um montante avaliado em cerca de 6,5 milhões de dólares à data da publicação.

Alex “Scalar” Sol divulgou a falha a 23 de março, segundo um relatório de divulgação publicado na terça-feira, revelando que os nós zcashd estavam a ignorar a verificação de provas para transações que envolviam o pool legado Sprout. O bug não foi explorado e os fundos de todos os utilizadores permanecem seguros, de acordo com a divulgação.

A vulnerabilidade abrangeu versões desde julho de 2020 até ao presente, com os programadores do Zcash a lançarem a v6.12.0 na terça-feira para conter a correção. Os principais pools de mineração moveram-se rapidamente para corrigir os seus sistemas—o pool de mineração Luxor confirmou a implementação a 25 de março, enquanto a F2Pool, a ViaBTC e a AntPool aplicaram todas a correção até 26 de março, segundo o mesmo relatório.



A implementação do full node Zebra não foi afetada pela vulnerabilidade, afirmou o relatório, e teria despoletado um fork da cadeia se tivesse sido tentada a exploração, fornecendo uma camada adicional de proteção da rede.

Sol, que descobriu a vulnerabilidade com assistência de IA, comunicou-a à Shielded Labs a 23 de março. A organização coordenou com o Zcash Open Development Lab (ZODL), cujo engenheiro Jack “str4d” Grigg escreveu a correção.

Pela sua divulgação, Sol receberá um bónus total de 200 ZEC—avaliado em mais de 51.000 dólares—com a Shielded Labs, o ZODL, a Zcash Foundation e a Bootstrap a contribuírem cada um com 50 ZEC.

O pool Sprout foi encerrado para novos depósitos em novembro de 2020, tornando-se um componente descontinuado mas ainda ativo que detém aproximadamente 25.424 ZEC, que os utilizadores ainda não migraram para versões mais recentes de pools blindados.

Embora a vulnerabilidade pudesse ter permitido drenar estes fundos, a Zcash Open Development Team (ZODL) afirmou que o mecanismo de “turnstile” do Zcash teria evitado uma inflação mais alargada da oferta. O turnstile exige que quaisquer moedas que saiam do pool Sprout tenham entrado de forma verificável, criando uma salvaguarda contra a criação de novos tokens para além da circulação total da rede de cerca de 16,63 milhões de ZEC.

Isto não é a primeira grande vulnerabilidade que a rede enfrenta. Em 2019, a rede corrigiu um bug descrito como um “gerador de cripto-cunhagem infinita”, embora tenha sido corrigido antes de se tornar um problema grave para a rede de moeda de privacidade.

O Zcash é o maior beneficiário nas últimas 24 horas entre as top 100 moedas por capitalização de mercado, de acordo com dados da CoinGecko, subindo mais de 14% para um preço recente acima de 255 dólares. O preço da moeda de privacidade disparou no outono passado, subindo de cerca de 50 dólares para um máximo de vários anos perto dos 700 dólares, mas caiu ao longo dos últimos meses, em paralelo com o Bitcoin e outras criptomoedas.

Newsletter de Fecho Diário

Comece todos os dias com as principais notícias agora, além de reportagens originais, um podcast, vídeos e mais.

O seu Email

Obter!

Obter!