زی‌کش (Zcash) یک آسیب‌پذیری عمده را رفع کرده است که به عوامل مخرب اجازه می‌داد وجوه را از استخر محافظت‌شده (shielded pool) منسوخ‌شده Sprout این پروتکل تخلیه کنند.

گزارش افشاگری از پژوهشگر امنیتی، الکس "اسکالر" سول، که روز سه‌شنبه منتشر شد، ادعا می‌کند که یک نقص حیاتی در نودهای zcashd کشف شده که منجر به نادیده گرفتن تأیید اثبات برای تراکنش‌های مربوط به استخر قدیمی Sprout می‌شد.

هیچ وجه کاربری از دست نرفت

استخر Sprout زی‌کش همان "استخر محافظت‌شده" اصلی است که در سال 2016 همراه با شبکه راه‌اندازی شد. این اولین پیاده‌سازی اثبات‌های دانش صفر (zk-SNARKs) در یک رمزارز عملیاتی بود که به کاربران امکان ارسال و دریافت خصوصی ZEC را می‌داد.

اگرچه این استخر در نوامبر 2020 برای واریزهای جدید بسته شد، اما هنوز حدود 25,424 واحد ZEC را در خود جای داده است که هنوز به نسخه‌های جدیدتر استخر محافظت‌شده منتقل نشده‌اند.

بر اساس گزارش افشاگری، این آسیب‌پذیری نسخه‌های منتشر شده از ژوئیه 2020 به بعد را در بر می‌گرفت اما از طریق نسخه v6.12.0 که روز سه‌شنبه منتشر شد، رفع گردید. تاکنون، از این نقص سوءاستفاده نشده است و وجوه کاربران امن باقی مانده است.

این گزارش افزود که استخرهای استخراج (ماینینگ) اصلی، از جمله Luxor، F2Pool، ViaBTC، و AntPool، تا 26 مارس این وصله امنیتی را پیاده‌سازی کرده‌اند.

این گزارش همچنین افزود که پیاده‌سازی نود کامل Zebra تحت تأثیر قرار نگرفت. در صورت تلاش برای سوءاستفاده، این امر منجر به فورک زنجیره می‌شد که به عنوان یک تدبیر امنیتی اضافی عمل می‌کرد.

با وجود شدت این مشکل، تیم توسعه باز زی‌کش (Zcash Open Development Team) توضیح داده است که مکانیزم "چرخ و فلک" (turnstile) شبکه، که تضمین می‌کند هر سکه‌ای که از استخر Sprout خارج می‌شود، قبلاً باید وارد آن شده باشد، از تورم گسترده‌تر عرضه جلوگیری می‌کرد.

برای شبکه زی‌کش، این دومین باری است که یک آسیب‌پذیری حیاتی و سیستمی در استخرهای محافظت‌شده آن کشف می‌شود. در سال 2019، تیم زی‌کش یک باگ "جعل" (counterfeiting) را افشا کرد، نقصی در رمزنگاری زیربنایی که می‌توانست به یک مهاجم اجازه دهد مقدار نامحدودی ZEC را بدون شناسایی ایجاد کند.