Zcash ने एक बड़ी भेद्यता को ठीक किया है जो दुर्भावनापूर्ण अभिनेताओं को प्रोटोकॉल के पदावनत स्प्राउट शील्डेड पूल से धन निकालने की अनुमति दे सकती थी।
सुरक्षा शोधकर्ता एलेक्स "स्केलर" सोल द्वारा मंगलवार को प्रकाशित एक खुलासे की रिपोर्ट में दावा किया गया है कि zcashd नोड्स में एक गंभीर खराबी पाई गई थी, जिसके परिणामस्वरूप पुराने स्प्राउट पूल से जुड़े लेनदेन के लिए प्रूफ सत्यापन को छोड़ दिया गया था।
Zcash का स्प्राउट पूल मूल "शील्डेड पूल" है जिसे 2016 में नेटवर्क के साथ लॉन्च किया गया था। यह एक उत्पादन क्रिप्टोकरेंसी में जीरो-नॉलेज प्रूफ (zk-SNARKs) का पहला कार्यान्वयन था, जिससे उपयोगकर्ता ZEC को निजी तौर पर भेज और प्राप्त कर सकते थे।
हालांकि नवंबर 2020 में नए जमा के लिए पूल बंद कर दिया गया था, इसमें अभी भी लगभग 25,424 ZEC हैं, जिन्हें अभी तक नए शील्डेड पूल संस्करणों में स्थानांतरित नहीं किया गया है।
खुलासे के अनुसार, भेद्यता जुलाई 2020 से आगे की रिलीज़ में फैली हुई थी, लेकिन v6.12.0 के माध्यम से इसे ठीक किया गया, जिसे मंगलवार को जारी किया गया था। अब तक, इस खराबी का फायदा नहीं उठाया गया है, और उपयोगकर्ता निधि सुरक्षित बनी हुई है।
रिपोर्ट में कहा गया है कि लक्सर, F2Pool, ViaBTC और एंटपूल सहित प्रमुख माइनिंग पूल ने 26 मार्च तक इस फिक्स को पहले ही तैनात कर दिया था।
रिपोर्ट में आगे कहा गया है कि ज़ेबरा फुल नोड कार्यान्वयन प्रभावित नहीं हुआ था। शोषण के प्रयास की स्थिति में, यह एक चेन फोर्क में परिणत होता, जो एक अतिरिक्त सुरक्षा उपाय के रूप में कार्य करता।
समस्या की गंभीरता के बावजूद, Zcash ओपन डेवलपमेंट टीम ने स्पष्ट किया है कि नेटवर्क का "टर्नस्टाइल" तंत्र, जो यह सुनिश्चित करता है कि स्प्राउट पूल से निकलने वाले किसी भी सिक्के को पहले उसमें प्रवेश करना होगा, व्यापक आपूर्ति मुद्रास्फीति को रोक सकता था।
Zcash नेटवर्क के लिए, यह दूसरी बार है जब इसके शील्डेड पूलों के भीतर एक महत्वपूर्ण, प्रणालीगत भेद्यता का खुलासा हुआ है। 2019 में, Zcash टीम ने एक "नकली" बग का खुलासा किया था, जो अंतर्निहित क्रिप्टोग्राफी में एक खराबी थी जो एक हमलावर को बिना पता चले असीमित मात्रा में ZEC बनाने की अनुमति दे सकती थी।
