Zcash устраняет критическую уязвимость безопасности, которая угрожала сохранности более 25 000 ZEC

Gate News сообщает, 1 апреля, что приватная монета Zcash раскрыла и исправила критическую уязвимость безопасности. Безопасностный исследователь Алекс “Scalar” Sol сообщил о ней 23 марта; уязвимость возникла из-за того, что zcashd-нода при обработке транзакций, затрагивающих приватный пул Sprout, пропускала проверку доказательств, что потенциально могло быть использовано злонамеренными майнерами для переноса более 25 000 ZEC (примерно 6,5 миллиона долларов США) из уже устаревшего пула Sprout.

Официально заявлено, что уязвимость существовала с июля 2020 года, но не была фактически использована; пользовательские средства при этом всегда оставались в безопасности. Команда разработчиков выпустила версию v6.12.0 для завершения исправления, а основные майнинговые пулы завершили обновление и развертывание в течение нескольких дней. Кроме того, реализация Zebra full node, не затронутая проблемой, обладает способностью инициировать разветвление цепочки, что может обеспечить дополнительную защиту в случае эксплуатации уязвимости.

Согласно раскрытым данным, пул Sprout, хотя и был закрыт для новых депозитов в ноябре 2020 года, все еще содержит около 25 424 ZEC, которые не были перенесены. Даже если уязвимость будет использована, механизм turnstile в Zcash может предотвратить инфляционную эмиссию и гарантировать, что общий объем предложения не будет превышен. Эта уязвимость была обнаружена с помощью ИИ, и исследователь получит награду в общей сложности 200 ZEC (около 51 000 долларов США). Примечательно, что Zcash уже устраняла в 2019 году серьезный дефект, который мог приводить к бесконечной эмиссии.