یک محقق امنیتی آسیب‌پذیری حیاتی را در گره‌های Zcash کشف کرد که می‌توانست به ماینرهای مخرب اجازه دهد بیش از 25,000 ZEC را از استخر حریم خصوصی (shielded pool) منسوخ شده Sprout شبکه تخلیه کنند—مبلغی که در زمان نگارش حدود 6.5 میلیون دلار ارزش دارد.

الکس "اسکالار" سول این نقص را در 23 مارس افشا کرد، بر اساس گزارش افشایی که روز سه‌شنبه منتشر شد، مشخص شد که گره‌های zcashd تأیید اثبات را برای تراکنش‌های مربوط به استخر قدیمی Sprout نادیده می‌گرفتند. بر اساس این افشا، این باگ مورد سوءاستفاده قرار نگرفت و تمام وجوه کاربران ایمن باقی مانده است.

این آسیب‌پذیری نسخه‌های منتشر شده از جولای 2020 تا کنون را شامل می‌شد، و توسعه‌دهندگان Zcash نسخه 6.12.0 را روز سه‌شنبه برای رفع آن منتشر کردند. استخرهای استخراج بزرگ به سرعت برای وصله کردن سیستم‌های خود اقدام کردند—استخر استخراج Luxor استقرار وصله را در 25 مارس تأیید کرد، در حالی که F2Pool، ViaBTC، و AntPool همگی تا 26 مارس این وصله را به کار گرفتند، طبق همان گزارش.

گزارش حاکی از آن است که پیاده‌سازی گره کامل Zebra تحت تأثیر این آسیب‌پذیری قرار نگرفته است و در صورت تلاش برای سوءاستفاده، یک فورک زنجیره‌ای را آغاز می‌کرد که لایه‌ای اضافی از محافظت شبکه را فراهم می‌آورد.

سول، که این آسیب‌پذیری را با کمک هوش مصنوعی کشف کرد، آن را در 23 مارس به Shielded Labs گزارش داد. این سازمان با آزمایشگاه توسعه باز Zcash (ZODL) هماهنگ شد، که مهندس آن، جک "str4d" گریگ، وصله را نوشت.

برای افشای خود، سول پاداشی به مبلغ 200 ZEC دریافت خواهد کرد—به ارزش بیش از 51,000 دلار—که Shielded Labs، ZODL، بنیاد Zcash و Bootstrap هر کدام 50 ZEC را مشارکت خواهند کرد.

استخر Sprout در نوامبر 2020 به روی سپرده‌گذاری‌های جدید بسته شد، و آن را به یک جزء منسوخ شده اما همچنان فعال تبدیل کرد که تقریباً 25,424 ZEC را در خود جای داده است که کاربران هنوز آن را به نسخه‌های جدیدتر استخر حریم خصوصی مهاجرت نکرده‌اند.

در حالی که این آسیب‌پذیری می‌توانست امکان تخلیه این وجوه را فراهم کند، تیم توسعه باز Zcash (ZODL) اظهار داشت که مکانیسم «گردان» Zcash از تورم گسترده‌تر عرضه جلوگیری می‌کرد. این گردان مستلزم آن است که هر سکه‌ای که از استخر Sprout خارج می‌شود، باید به طور قابل تأیید وارد آن شده باشد، که این امر یک محافظ در برابر ایجاد توکن‌های جدید فراتر از کل عرضه در گردش شبکه که حدود 16.63 میلیون ZEC است، ایجاد می‌کند.

این اولین آسیب‌پذیری بزرگی نیست که شبکه با آن مواجه شده است. در سال 2019، شبکه یک باگ را که به عنوان یک «مولد بی‌پایان ارز جعلی» توصیف شده بود، وصله کرد، هرچند قبل از اینکه به یک مشکل عمده برای شبکه کوین حریم خصوصی تبدیل شود، برطرف شد.

بر اساس داده‌های CoinGecko، Zcash بزرگترین رشد را در 24 ساعت گذشته در میان 100 کوین برتر بر اساس ارزش بازار داشته است، که بیش از 14% افزایش یافته و به قیمتی بالاتر از 255 دلار رسیده است. قیمت این کوین حریم خصوصی در پاییز گذشته از حدود 50 دلار به اوج چند ساله نزدیک به 700 دلار رسید، اما در ماه‌های اخیر همراه با بیت‌کوین و سایر رمزارزها کاهش یافته است.