zcash-patches-critical-bug-affecting-the-sprout-shielded-pool

Zcash behebt kritische Sicherheitslücke im Sprout Shielded Pool

Zcash hat einer kritischen Schwachstelle in zcashd-Knoten behoben, die die Nachweisprüfung im Legacy-Sprout-Pool übersprang – ein Fehler, der mehr als 25.000 ZEC einem potenziellen Diebstahl aussetzen konnte. Die Verwundbarkeit bestand von Juli 2020 bis zur Veröffentlichung von Version 6.12.0, wobei keine Ausnutzung festgestellt wurde und alle Nutzerfonds als sicher bestätigt sind.

2026-04-01 Quelle:crypto.news

ZEC

Zcash-Sicherheit

Kryptowährungs-Schwachstelle

Sprout Shielded Pool

Zcash hat eine schwerwiegende Schwachstelle behoben, die es böswilligen Akteuren ermöglicht hätte, Gelder aus dem veralteten Sprout Shielded Pool des Protokolls abzuziehen.

Zusammenfassung

Zcash behob einen kritischen Fehler in zcashd-Nodes, der die Proof-Verifizierung im alten Sprout-Pool übersprang, ein Bug, der über 25.000 ZEC einem potenziellen Abzug hätte aussetzen können.
Die Schwachstelle bestand von Juli 2020 bis zur Veröffentlichung von v6.12.0, wobei keine Ausnutzung festgestellt wurde und alle Nutzergelder als sicher bestätigt wurden.

Ein am Dienstag veröffentlichter Offenlegungsbericht des Sicherheitsforschers Alex „Scalar“ Sol besagt, dass in zcashd-Nodes ein kritischer Fehler entdeckt wurde, der dazu führte, dass die Proof-Verifizierung für Transaktionen, die den alten Sprout-Pool betreffen, übersprungen wurde.

Keine Nutzergelder verloren

Der Sprout-Pool von Zcash ist der ursprüngliche „Shielded Pool“, der 2016 mit dem Netzwerk eingeführt wurde. Er war die erste Implementierung von Zero-Knowledge-Proofs (zk-SNARKs) in einer produktiven Kryptowährung, die es Benutzern ermöglichte, ZEC privat zu senden und zu empfangen.

Obwohl der Pool im November 2020 für neue Einlagen geschlossen wurde, enthält er immer noch etwa 25.424 ZEC, die noch nicht auf neuere Shielded-Pool-Versionen migriert wurden.

Laut der Offenlegung erstreckte sich die Schwachstelle über Releases ab Juli 2020, wurde aber durch v6.12.0 behoben, das am Dienstag veröffentlicht wurde. Bisher wurde der Fehler nicht ausgenutzt, und die Nutzergelder bleiben sicher.

Große Mining-Pools, darunter Luxor, F2Pool, ViaBTC und AntPool, haben die Korrektur bereits bis zum 26. März implementiert, so der Bericht weiter.

Der Bericht fügte hinzu, dass die Zebra-Full-Node-Implementierung nicht betroffen war. Im Falle eines Ausnutzungsversuchs hätte dies zu einem Chain Fork geführt, der als zusätzliche Schutzmaßnahme gedient hätte.

Trotz der Schwere des Problems hat das Zcash Open Development Team klargestellt, dass der „Turnstile“-Mechanismus des Netzwerks, der vorschreibt, dass alle Coins, die den Sprout-Pool verlassen, diesen zuvor betreten haben müssen, eine breitere Angebotsinflation verhindert hätte.

Für das Zcash-Netzwerk ist dies das zweite Mal, dass eine kritische, systemische Schwachstelle in seinen Shielded Pools aufgedeckt wurde. Im Jahr 2019 legte das Zcash-Team einen „Fälschungs“-Bug offen, einen Fehler in der zugrunde liegenden Kryptographie, der es einem Angreifer hätte ermöglichen können, eine unendliche Menge an ZEC unentdeckt zu erstellen.