Une vulnérabilité Zcash qui a mis en péril des millions de dollars de ZEC a été corrigée

En bref

• Un chercheur en sécurité a découvert une vulnérabilité critique dans les nœuds Zcash qui contournait la vérification de preuve pour le pool shielded Sprout, désormais déprécié.
• Les principaux pools de minage ont déployé le correctif en trois jours, tandis que les développeurs de Zcash publiaient la version v6.12.0 mardi.
• Le mécanisme de « tourniquet » de Zcash aurait empêché une inflation plus large de l’offre, même si le pool avait été compromis.

Un chercheur en sécurité a découvert une vulnérabilité critique dans les nœuds Zcash qui aurait pu permettre à des mineurs malveillants de détourner plus de 25 000 ZEC depuis le pool shielded Sprout déprécié du réseau — une somme qui valait environ 6,5 millions de dollars au moment de la rédaction. Alex « Scalar » Sol a divulgué la faille le 23 mars, selon un rapport de divulgation publié mardi, révélant que les nœuds zcashd sautaient la vérification de preuve pour les transactions impliquant le pool Sprout hérité. Le bug n’a pas été exploité et les fonds de tous les utilisateurs restent en sécurité, d’après la divulgation. La vulnérabilité couvrait des versions de juillet 2020 à aujourd’hui, les développeurs de Zcash publiant la v6.12.0 mardi afin d’endiguer le correctif. Les principaux pools de minage ont réagi rapidement pour corriger leurs systèmes — le pool minier Luxor a confirmé le déploiement le 25 mars, tandis que F2Pool, ViaBTC et AntPool ont tous déployé le correctif d’ici le 26 mars, selon le même rapport.

L’implémentation de nœud complet Zebra n’a pas été affectée par la vulnérabilité, indique le rapport, et elle aurait déclenché un fork de chaîne si une exploitation avait été tentée, offrant une couche supplémentaire de protection du réseau. Sol, qui a découvert la vulnérabilité avec l’aide de l’IA, l’a signalée à Shielded Labs le 23 mars. L’organisation a coordonné avec le Zcash Open Development Lab (ZODL), dont l’ingénieur Jack « str4d » Grigg a rédigé le correctif. Pour sa divulgation, Sol recevra une récompense totale de 200 ZEC — évaluée à plus de 51 000 $ — avec Shielded Labs, ZODL, la Zcash Foundation et Bootstrap, chacun contribuant 50 ZEC. Le pool Sprout a été fermé aux nouveaux dépôts en novembre 2020, ce qui en fait un composant déprécié mais encore actif détenant environ 25 424 ZEC que les utilisateurs n’ont pas encore migrés vers les versions plus récentes des pools shielded.

Bien que la vulnérabilité ait pu permettre de détourner ces fonds, l’équipe Zcash Open Development Team (ZODL) a déclaré que le mécanisme de « tourniquet » de Zcash aurait empêché une inflation plus large de l’offre. Le tourniquet exige que toute pièce quittant le pool Sprout y soit entrée de manière vérifiable, créant une protection contre la création de nouveaux jetons au-delà de la circulation totale d’environ 16,63 millions de ZEC sur le réseau. Ce n’est pas la première grande vulnérabilité à laquelle le réseau a été confronté. En 2019, le réseau a corrigé un bug décrit comme un générateur de crypto « contrefaçon infinie », bien qu’il ait été corrigé avant de devenir un problème majeur pour le réseau de la crypto-monnaie axée sur la confidentialité. Zcash est le plus gros gagnant sur les dernières 24 heures parmi les 100 premières crypto-monnaies par capitalisation boursière, d’après les données de CoinGecko, progressant de plus de 14 % vers un prix récent au-dessus de 255 $. Le prix de la crypto-monnaie axée sur la confidentialité a explosé l’automne dernier, passant d’environ 50 $ à un sommet pluriannuel proche de 700 $, mais il a ensuite chuté ces derniers mois, en même temps que Bitcoin et d’autres crypto-monnaies.