Zcash vá lỗi nghiêm trọng: Đã đe dọa an toàn hơn 25.000 ZEC, trị giá khoảng 6,5 triệu USD

Báo Odaily Planet Daily đưa tin: Số coin quyền riêng tư Zcash gần đây đã công bố và khắc phục một lỗ hổng bảo mật then chốt, lỗ hổng này có thể bị khai thác bởi các thợ đào độc hại. Lỗ hổng có thể đã cho phép chuyển hơn 25.000 ZEC (khoảng 6,5 triệu USD) khỏi nhóm quyền riêng tư Sprout đã bị loại bỏ. Nhà nghiên cứu bảo mật Alex “Scalar” Sol đã công bố vào ngày 23 tháng 3 rằng lỗ hổng xuất phát từ việc nút zcashd khi xử lý các giao dịch liên quan đến nhóm Sprout đã bỏ qua việc xác thực bằng chứng (proof validation). Phía chính thức cho biết lỗ hổng này đã tồn tại từ tháng 7 năm 2020, nhưng chưa từng bị khai thác thực tế; tiền của người dùng vẫn luôn an toàn.

Nhóm phát triển đã phát hành phiên bản v6.12.0 để hoàn tất việc khắc phục, và các pool đào lớn đã hoàn thành nâng cấp triển khai trong vài ngày. Ngoài ra, các triển khai full node Zebra không bị ảnh hưởng đã có khả năng kích hoạt phân nhánh chuỗi (chain fork), qua đó có thể cung cấp thêm lớp bảo vệ khi lỗ hổng bị khai thác. Theo thông tin được tiết lộ, dù pool Sprout đã đóng việc gửi tiền mới từ tháng 11 năm 2020, vẫn còn khoảng 25.424 ZEC chưa được di chuyển. Dù lỗ hổng có bị khai thác, cơ chế “turnstile” của Zcash cũng có thể ngăn chặn việc phát hành gia tăng mang tính lạm phát, đảm bảo tổng cung không bị vượt ngưỡng.

Lỗ hổng lần này được phát hiện với sự hỗ trợ của AI; nhà nghiên cứu sẽ nhận được tổng cộng 200 ZEC (khoảng 51.000 USD) tiền thưởng. Đáng chú ý là đây không phải lần đầu Zcash gặp một lỗ hổng nghiêm trọng: từ năm 2019, dự án đã từng khắc phục một khiếm khuyết nghiêm trọng có thể dẫn đến phát hành vô hạn. (Decrypt)