Zcash виправив критичну уразливість, яка загрожувала безпеці понад 25 000 монет ZEC, що оцінюється приблизно у 6,5 мільйонів доларів

Повідомлення з Mars Finance: приватна монета Zcash нещодавно розкрила та виправила критичну безпекову вразливість. Її могли б використати зловмисні майнери. З неактивного Sprout privacy pool (приватного пулу) було перенесено понад 25,000 ZEC (приблизно 6.5 млн доларів США). Безпековий дослідник Alex “Scalar” Sol 23 березня розкрив, що вразливість виникла через те, що вузол zcashd під час обробки транзакцій із Sprout pool пропускав верифікацію доказів. Офіційно зазначено, що вразливість існувала з липня 2020 року, але на практиці не була використана; кошти користувачів постійно були в безпеці. Розробницька команда випустила версію v6.12.0, щоб завершити виправлення; основні майнінг-пули вже за кілька днів виконали оновлення та розгортання. Крім того, реалізація повного вузла Zebra, яка не постраждала, має можливість тригерити ланцюгові розгалуження (chain fork), тож може забезпечити додатковий захист, коли вразливість буде використана. Зі звіту відомо, що хоча Sprout pool було закрито для нових депозитів ще в листопаді 2020 року, там досі залишаються близько 25,424 ZEC, які не були мігрувані. Навіть якщо вразливість буде використана, механізм “turnstile” у Zcash здатен запобігти інфляційному емісійному додаванню, щоб гарантувати, що загальна пропозиція не буде перевищена. Цю вразливість було виявлено за допомогою ШІ; дослідник отримає загалом 200 ZEC (приблизно 5.1 тис. доларів США) як винагороду. Варто зазначити, що це не перший випадок великої вразливості в Zcash: ще у 2019 році проєкт уже виправляв серйозний дефект, який міг призвести до нескінченного емісійного додавання.