Zcash Corrige vulnerabilidade crítica que ameaçava a segurança de mais de 25.000 ZEC, avaliada em aproximadamente 6,5 milhões de dólares

Notícia da Mars Finance: a criptomoeda de privacidade Zcash divulgou e corrigiu recentemente uma falha de segurança crítica. A falha poderia ser explorada por mineiros maliciosos para transferir mais de 25.000 ZEC (cerca de 6,5 milhões de dólares) a partir do já descontinuado pool de privacidade Sprout. O investigador de segurança Alex “Scalar” Sol divulgou esta falha a 23 de março. A origem está no facto de o nó zcashd, ao processar transações que envolvem o pool Sprout, ter saltado a validação da prova. A versão oficial afirma que a falha existe desde julho de 2020, mas não foi explorada na prática, e que os fundos dos utilizadores estiveram sempre seguros. A equipa de desenvolvimento lançou a versão v6.12.0 para concluir a correção; os principais pools de mineração concluíram a atualização e a implantação no espaço de alguns dias. Além disso, a implementação do nó completo Zebra não afetado tem capacidade de acionar uma bifurcação da cadeia, podendo proporcionar proteção adicional quando a falha for explorada. De acordo com a divulgação, embora o pool Sprout tenha sido encerrado para novos depósitos em novembro de 2020, ainda existem cerca de 25.424 ZEC não migradas. Mesmo que a falha seja explorada, o mecanismo “turnstile” da Zcash pode impedir uma emissão inflacionária adicional, garantindo que o fornecimento total não é ultrapassado. Esta falha foi descoberta com assistência de IA, e o investigador receberá uma recompensa total de 200 ZEC (cerca de 51.000 dólares). Vale destacar que este não é o primeiro grande incidente de falha de segurança do Zcash: já em 2019, tinha corrigido uma falha grave que podia levar a uma emissão infinita.