Zcash vá lỗi nghiêm trọng, đe dọa an toàn hơn 25.000 ZEC, trị giá khoảng 6,5 triệu USD

Tin từ Mars Finance cho biết, đồng tiền ẩn danh Zcash gần đây đã công bố và khắc phục một lỗ hổng bảo mật then chốt có thể bị các thợ đào độc hại lợi dụng. Lỗ hổng này đã cho phép chuyển hơn 25.000 ZEC (khoảng 6,5 triệu USD) từ một pool quyền riêng tư Sprout đã bị ngừng sử dụng. Nhà nghiên cứu an ninh Alex “Scalar” Sol đã công bố vào ngày 23 tháng 3 rằng lỗ hổng này xuất phát từ việc nút zcashd khi xử lý các giao dịch liên quan đến pool Sprout đã bỏ qua việc xác thực bằng chứng. Phía chính thức cho biết lỗ hổng này tồn tại từ tháng 7 năm 2020 nhưng chưa từng bị khai thác thực tế; quỹ của người dùng luôn được bảo đảm an toàn. Nhóm phát triển đã phát hành phiên bản v6.12.0 để hoàn tất việc sửa lỗi, và các pool khai thác lớn đã hoàn tất nâng cấp triển khai trong vòng vài ngày. Ngoài ra, việc triển khai full node Zebra không bị ảnh hưởng có khả năng kích hoạt chuỗi phân nhánh, qua đó có thể mang lại thêm lớp bảo vệ khi lỗ hổng bị lợi dụng. Theo tiết lộ, dù pool Sprout đã đóng việc gửi tiền mới từ tháng 11 năm 2020, vẫn còn khoảng 25.424 ZEC chưa được di chuyển. Thậm chí trong trường hợp lỗ hổng bị khai thác, cơ chế “turnstile” của Zcash cũng có thể ngăn chặn việc phát hành lạm phát thêm, đảm bảo tổng cung không bị vượt ngưỡng. Lỗ hổng lần này được phát hiện với sự hỗ trợ của AI, và nhà nghiên cứu sẽ nhận khoản tiền thưởng tổng cộng 200 ZEC (khoảng 51.000 USD). Đáng chú ý, đây không phải là lần đầu Zcash gặp lỗ hổng nghiêm trọng; từ sớm vào năm 2019, dự án cũng đã từng khắc phục một khiếm khuyết nghiêm trọng có thể dẫn đến phát hành vô hạn.