Zcash corrige vulnerabilidade crítica: ameaçou a segurança de mais de 25.000 ZEC, avaliado em aproximadamente 6,5 milhões de dólares

Notícias do Odaily Planet Daily, sobre Zcash: a moeda de privacidade Zcash revelou e corrigiu recentemente uma falha de segurança crítica. A falha poderia ser explorada por mineradores maliciosos, permitindo a transferência de mais de 25.000 ZEC (cerca de 6,5 milhões de dólares) a partir do antigo pool de privacidade Sprout que já tinha sido descontinuado. O investigador de segurança Alex “Scalar” Sol divulgou a falha em 23 de março. A causa estaria em que o nó zcashd ignorava a validação de provas ao processar transações que envolvem o pool Sprout. De acordo com as autoridades oficiais, a falha existe desde julho de 2020, mas nunca foi explorada na prática; os fundos dos utilizadores estiveram sempre seguros.

A equipa de desenvolvimento lançou a versão v6.12.0 para concluir a correção, e os principais pools de mineração concluíram a atualização e a implementação em poucos dias. Além disso, as instâncias de nó completo Zebra que não foram afetadas têm capacidade de ativar uma bifurcação da cadeia, podendo fornecer proteção adicional quando a falha é explorada. Segundo a informação divulgada, embora o pool Sprout tenha sido encerrado para novos depósitos em novembro de 2020, ainda existiam cerca de 25.424 ZEC não migradas. Mesmo que a falha seja explorada, o mecanismo “turnstile” do Zcash pode evitar a emissão inflacionista adicional, garantindo que a oferta total não seja ultrapassada.

Esta falha foi identificada com o auxílio de IA, e o investigador receberá uma recompensa total de 200 ZEC (cerca de 51.000 dólares). Importa destacar que este não é a primeira vez que a Zcash enfrenta uma falha de grande dimensão; já em 2019, tinha corrigido um defeito grave que podia levar a uma emissão infinita. (Decrypt)