A Zcash corrigiu uma vulnerabilidade grave que teria permitido a agentes maliciosos drenarem fundos do protocolo a partir da antiga pool blindada Sprout.

Resumo

• A Zcash corrigiu uma falha crítica nos nós zcashd que ignoravam a verificação de provas na pool legada Sprout, um erro que poderia ter exposto mais de 25.000 ZEC a um potencial esvaziamento.
• A vulnerabilidade permaneceu presente de julho de 2020 até ao lançamento da v6.12.0, sem exploração detetada e com a segurança de todos os fundos dos utilizadores confirmada.

Um relatório de divulgação do investigador de segurança Alex “Scalar” Sol, publicado na terça-feira, afirma que foi detetada uma falha crítica em nós zcashd que levou a ignorarem a verificação de provas para transações que envolvem a pool legada Sprout.

Nenhum fundo de utilizadores perdido

A pool Sprout da Zcash é a “pool blindada” original que foi lançada com a rede em 2016. Foi a primeira implementação de provas de conhecimento zero (zk-SNARKs) numa criptomoeda em produção, permitindo aos utilizadores enviar e receber ZEC em privado.

Embora a pool tenha sido encerrada a novos depósitos em novembro de 2020, continua a deter aproximadamente 25.424 ZEC, que ainda não foram migradas para versões mais recentes da pool blindada.

De acordo com a divulgação, a vulnerabilidade abrangeu versões desde julho de 2020 em diante, mas foi corrigida através da v6.12.0, que foi lançada na terça-feira. Até agora, a falha não foi explorada e os fundos dos utilizadores continuam seguros.

As principais pools de mineração, incluindo Luxor, F2Pool, ViaBTC e AntPool, já implementaram a correção até 26 de março, acrescentou o relatório.

O relatório acrescentou que a implementação do nó completo Zebra não foi afetada. No caso de uma tentativa de exploração, teria resultado num fork da cadeia, atuando como salvaguarda adicional.

Apesar da gravidade do problema, a Zcash Open Development Team esclareceu que o mecanismo de “turnstile” da rede, que garante que quaisquer moedas que saem da pool Sprout têm de ter entrado previamente, teria evitado uma inflação mais ampla da oferta.

Para a rede Zcash, isto marca a segunda vez que uma vulnerabilidade crítica e sistémica foi descoberta nas suas pools blindadas. Em 2019, a equipa da Zcash divulgou um bug de “contrafação”, uma falha na criptografia subjacente que poderia ter permitido a um atacante criar uma quantidade infinita de ZEC sem deteção.