zcash-patches-critical-bug-affecting-the-sprout-shielded-pool

Zcash corrige une faille critique affectant le pool protégé Sprout

Zcash a corrigé une faille critique dans les nœuds zcashd qui omettaient la vérification des preuves dans le pool Sprout hérité, un bogue qui aurait pu exposer plus de 25 000 ZEC à un risque de vidage. La vulnérabilité a persisté de juillet 2020 jusqu'à la sortie de la version 6.12.0, sans exploitation détectée et tous les fonds des utilisateurs ont été confirmés en sécurité.

2026-04-01 Source:crypto.news

ZEC

Sécurité Zcash

Vulnérabilité des cryptomonnaies

Pool Protégé Sprout

Zcash a corrigé une vulnérabilité majeure qui aurait permis à des acteurs malveillants de siphonner des fonds du pool blindé Sprout déprécié du protocole.

Résumé

Zcash a corrigé une faille critique dans les nœuds zcashd qui ignorait la vérification des preuves dans le pool Sprout hérité, un bogue qui aurait pu exposer plus de 25 000 ZEC à un siphonnage potentiel.
La vulnérabilité est restée présente de juillet 2020 jusqu'à la sortie de la v6.12.0, sans qu'aucune exploitation ne soit détectée et tous les fonds des utilisateurs sont confirmés en sécurité.

Un rapport de divulgation du chercheur en sécurité Alex « Scalar » Sol, publié mardi, affirme qu'une faille critique a été découverte dans les nœuds zcashd, entraînant l'omission de la vérification des preuves pour les transactions impliquant le pool Sprout hérité.

Aucun fonds utilisateur perdu

Le pool Sprout de Zcash est le « pool blindé » original qui a été lancé avec le réseau en 2016. Ce fut la première implémentation des preuves à divulgation nulle de connaissance (zk-SNARKs) dans une cryptomonnaie en production, permettant aux utilisateurs d'envoyer et de recevoir du ZEC de manière privée.

Bien que le pool ait été fermé aux nouveaux dépôts en novembre 2020, il détient toujours environ 25 424 ZEC, qui doivent encore être migrés vers des versions plus récentes de pools blindés.

Selon la divulgation, la vulnérabilité a affecté les versions à partir de juillet 2020, mais a été corrigée avec la v6.12.0, qui a été publiée mardi. Jusqu'à présent, la faille n'a pas été exploitée, et les fonds des utilisateurs restent en sécurité.

Les principaux pools de minage, dont Luxor, F2Pool, ViaBTC et AntPool, ont déjà déployé le correctif d'ici le 26 mars, a ajouté le rapport.

Le rapport a ajouté que l'implémentation du nœud complet Zebra n'a pas été affectée. En cas de tentative d'exploitation, elle aurait entraîné un fork de la chaîne, agissant comme une protection supplémentaire.

Malgré la gravité du problème, l'équipe de développement open source de Zcash a clarifié que le mécanisme de « tourniquet » du réseau, qui impose que toute pièce sortant du pool Sprout doit y être entrée précédemment, aurait empêché une inflation plus large de l'approvisionnement.

Pour le réseau Zcash, c'est la deuxième fois qu'une vulnérabilité critique et systémique est découverte au sein de ses pools blindés. En 2019, l'équipe Zcash a divulgué un bogue de « contrefaçon », une faille dans la cryptographie sous-jacente qui aurait pu permettre à un attaquant de créer une quantité infinie de ZEC sans détection.

Articles tendance

MoonPay déclare que la régulation des stablecoins a ouvert la voie, mais que l'infrastructure doit suivre

2026-05-09

Les banques américaines rejettent l'accord sur les stablecoins de la loi CLARITY quelques jours avant le vote au Sénat

2026-05-09

Un conférencier en droit à Duke affirme que World Liberty Financial, lié à Trump, a émis un titre financier

2026-05-09

Autres articles

Les 71 millions de dollars en ETH d'Arbitrum débloqués pour le transfert à Aave alors que les créanciers du terrorisme nord-coréen conservent leur droit légal

2026-05-10

Bailey de la BoE met en garde contre un « affrontement » imminent avec les États-Unis sur la réglementation des stablecoins, signale un risque de ruée pour le Royaume-Uni

2026-05-10