Уязвимость Zcash, которая поставила под угрозу миллионы долларов ZEC, была устранена

Кратко

• Исследователь безопасности обнаружил критическую уязвимость в нодах Zcash, которая обходила проверку доказательств для устаревшего защищённого пула Sprout.
• Крупные майнинговые пулы развернули патч в течение трёх дней, а разработчики Zcash выпустили v6.12.0 во вторник.
• Механизм Zcash «turnstile» предотвратил бы более широкую инфляцию предложения даже в случае компрометации пула.

Исследователь безопасности обнаружил критическую уязвимость в нодах Zcash, которая могла позволить злонамеренным майнерам вывести из сети более 25,000 ZEC из устаревшего защищённого пула Sprout — сумма, оцениваемая примерно в $6.5 million на момент публикации.

Алекс «Scalar» Сол раскрыл уязвимость 23 марта, согласно отчёту о раскрытии, выпущенному во вторник, показав, что ноды zcashd пропускали проверку доказательств для транзакций, связанных с устаревшим пулом Sprout. Сообщается, что баг не был использован, и средства всех пользователей остаются в безопасности.

Уязвимость охватывала релизы с июля 2020 года по настоящее время, и разработчики Zcash выпустили v6.12.0 во вторник, чтобы устранить проблему. Крупные майнинговые пулы быстро перенесли изменения в свои системы — майнинговый пул Luxor подтвердил развертывание 25 марта, тогда как F2Pool, ViaBTC и AntPool все внедрили исправление к 26 марта, согласно тому же отчёту.



Полная нода Zebra, как говорится в отчёте, не была затронута уязвимостью, и при попытке эксплуатации она бы запустила форк цепочки, обеспечив дополнительный уровень защиты сети.

Сол, обнаруживший уязвимость с помощью ИИ, сообщил о ней в Shielded Labs 23 марта. Организация скоординировалась с Zcash Open Development Lab (ZODL), инженер которой Джек «str4d» Григг написал патч.

За своё раскрытие Сол получит общий наградной фонд 200 ZEC — стоимостью более $51,000 — при участии Shielded Labs, ZODL, Zcash Foundation и Bootstrap, при этом каждая из сторон внесёт по 50 ZEC.

Пул Sprout был закрыт для новых депозитов в ноябре 2020 года, поэтому он является устаревшим, но всё ещё активным компонентом, удерживающим примерно 25,424 ZEC, которые пользователи пока не перенесли в новые версии защищённых пулов.

Хотя уязвимость могла бы позволить вывести эти средства, Zcash Open Development Team (ZODL) заявила, что механизм Zcash «turnstile» предотвратил бы более широкую инфляцию предложения. Для turnstile требуется, чтобы любые монеты, покидающие пул Sprout, имели подтверждаемое входящее поступление в него, создавая гарантию против создания новых токенов сверх общей циркуляции сети около 16.63 million ZEC.

Это не первая крупная уязвимость, с которой сталкивалась сеть. Ещё в 2019 году сеть исправила баг, описанный как «infinite counterfeit» криптогенератор, хотя его успели устранить до того, как он стал серьёзной проблемой для сети приватной монеты.

Zcash — крупнейший получатель прироста за последние 24 часа среди топ-100 монет по капитализации, по данным CoinGecko: рост более чем на 14% до недавней цены выше $255. Цена приватной монеты взлетела прошлой осенью с примерно $50 до многолетнего пика около $700, но в последние месяцы снижалась вместе с Bitcoin и другими криптовалютами.

Ежедневная рассылка Daily Debrief

Начинайте каждый день с главных новостей прямо сейчас, а также с оригинальных материалов, подкаста, видео и многого другого.

Ваш Email

Получить!

Получить!