Zcash виправив критичну уразливість: загрожувала безпеці понад 25 000 ZEC, що оцінюється приблизно у 6,5 мільйонів доларів

Odaily星球日报 повідомляє, що приватні монети Zcash нещодавно розкрили та виправили ключову вразливість безпеки, яку потенційно могли використати зловмисні майнери. З цієї вразливості понад 25,000 ZEC (близько 6.5 млн доларів США) було переведено з застарілого приватного пулу Sprout. Дослідник безпеки Alex “Scalar” Sol 23 березня повідомив, що причина вразливості полягає в тому, що вузли zcashd під час обробки транзакцій, які стосуються пулу Sprout, пропускали перевірку доказів. Офіційно заявили, що ця вразливість існувала з липня 2020 року, але її фактично не використовували; кошти користувачів завжди були в безпеці.

Розробницька команда випустила версію v6.12.0, щоб завершити виправлення; більшість майнінгових пулів за кілька днів уже завершили оновлення та розгортання. Крім того, реалізація повних нод Zebra, яка не зазнала впливу, має можливість ініціювати ланцюгове розгалуження (chain fork), тож може забезпечити додатковий захист у разі використання вразливості. Як повідомляється, хоча пул Sprout припинив приймати нові депозити ще в листопаді 2020 року, у ньому досі залишалося приблизно 25,424 ZEC, які не були мігровані. Навіть якби вразливість використали, механізм Zcash “turnstile” може запобігти інфляційному емісійно-додатковому випуску, гарантуючи, що загальна пропозиція не буде перевищена.

Цю вразливість було виявлено за допомогою AI; дослідник отримає винагороду в сумі 200 ZEC (близько 5.1 тис. доларів США). Варто зазначити, що це не перший випадок серйозної вразливості в Zcash: ще у 2019 році там уже виправляли критичний дефект, який міг призвести до нескінченного збільшення емісії. (Decrypt)