أصلح Zcash ثغرة أمنية كبيرة كانت ستمكن الجهات الخبيثة من سحب الأموال من مجمع Sprout المحمي المهمل للبروتوكول.

يزعم تقرير إفصاح من باحث الأمن أليكس "سكالر" سول، نُشر يوم الثلاثاء، أنه تم اكتشاف عيب حرج في عُقد zcashd أدى إلى تخطي التحقق من الإثبات للمعاملات التي تتضمن مجمع Sprout القديم.

لم تفقد أي أموال للمستخدمين

مجمع Sprout الخاص بـ Zcash هو "المجمع المحمي" الأصلي الذي تم إطلاقه مع الشبكة في عام 2016. كان أول تطبيق لإثباتات المعرفة الصفرية (zk-SNARKs) في عملة مشفرة إنتاجية، مما سمح للمستخدمين بإرسال واستقبال ZEC بشكل خاص.

على الرغم من إغلاق المجمع أمام الودائع الجديدة في نوفمبر 2020، فإنه لا يزال يحتوي على ما يقرب من 25,424 ZEC، والتي لم يتم ترحيلها بعد إلى إصدارات أحدث من المجمعات المحمية.

وفقًا للإفصاح، امتدت الثغرة الأمنية عبر الإصدارات من يوليو 2020 فصاعدًا ولكن تم إصلاحها من خلال الإصدار v6.12.0، الذي صدر يوم الثلاثاء. حتى الآن، لم يتم استغلال العيب، ولا تزال أموال المستخدمين آمنة.

وأضاف التقرير أن مجمعات التعدين الرئيسية، بما في ذلك Luxor و F2Pool و ViaBTC و AntPool، قامت بالفعل بتطبيق الإصلاح بحلول 26 مارس.

أضاف التقرير أن تنفيذ العقدة الكاملة Zebra لم يتأثر. في حال محاولة استغلال، لكان ذلك قد أدى إلى انقسام في السلسلة (chain fork)، مما يعمل كحماية إضافية.

على الرغم من خطورة المشكلة، أوضح فريق Zcash Open Development أن آلية "الدوار" في الشبكة، والتي تفرض أن أي عملات تغادر مجمع Sprout يجب أن تكون قد دخلته مسبقًا، كانت ستمنع تضخم العرض الأوسع.

بالنسبة لشبكة Zcash، تمثل هذه المرة الثانية التي يتم فيها الكشف عن ثغرة أمنية حرجة ومنهجية داخل مجمعاتها المحمية. في عام 2019، كشف فريق Zcash عن خطأ "تزوير"، وهو عيب في التشفير الأساسي كان من الممكن أن يسمح للمهاجم بإنشاء كمية لا نهائية من ZEC دون الكشف.