Een beveiligingsonderzoeker ontdekte een kritieke kwetsbaarheid in Zcash-nodes die kwaadwillende miners in staat had kunnen stellen om meer dan 25.000 ZEC te drainen uit de verouderde Sprout shielded pool van het netwerk — een bedrag ter waarde van ongeveer $6,5 miljoen op het moment van schrijven.

Alex "Scalar" Sol onthulde de kwetsbaarheid op 23 maart, volgens een disclosure report dat dinsdag werd vrijgegeven, waaruit bleek dat zcashd-nodes de bewijsverificatie voor transacties met de oude Sprout pool oversloegen. De bug werd niet uitgebuit en alle fondsen van gebruikers blijven veilig, volgens de bekendmaking.

De kwetsbaarheid omvatte releases van juli 2020 tot heden, waarbij Zcash-ontwikkelaars dinsdag v6.12.0 uitbrachten om de oplossing te implementeren. Grote miningpools hebben snel gehandeld om hun systemen te patchen – Luxor miningpool bevestigde de implementatie op 25 maart, terwijl F2Pool, ViaBTC en AntPool de fix allemaal vóór 26 maart hadden geïmplementeerd, volgens hetzelfde rapport.

De Zebra full node implementatie werd niet beïnvloed door de kwetsbaarheid, aldus het rapport, en zou een chain fork hebben veroorzaakt als exploitatie was geprobeerd, wat een extra laag van netwerkbeveiliging bood.

Sol, die de kwetsbaarheid ontdekte met behulp van AI-ondersteuning, meldde deze op 23 maart aan Shielded Labs. De organisatie coördineerde met het Zcash Open Development Lab (ZODL), wiens ingenieur Jack "str4d" Grigg de patch schreef.

Voor zijn bekendmaking ontvangt Sol een totale bounty van 200 ZEC — ter waarde van meer dan $51.000 — waarbij Shielded Labs, ZODL, de Zcash Foundation en Bootstrap elk 50 ZEC bijdragen.

De Sprout pool werd in november 2020 gesloten voor nieuwe stortingen, waardoor het een verouderd maar nog steeds actief component is dat ongeveer 25.424 ZEC bevat die gebruikers nog niet naar nieuwere shielded pool versies hebben gemigreerd.

Hoewel de kwetsbaarheid het drainen van deze fondsen mogelijk had kunnen maken, zei het Zcash Open Development Team (ZODL) dat Zcash's "turnstile"-mechanisme bredere inflatie van het aanbod zou hebben voorkomen. De turnstile vereist dat alle munten die de Sprout pool verlaten, aantoonbaar de pool zijn binnengekomen, wat een veiligheid biedt tegen het creëren van nieuwe tokens boven de totale circulatie van het netwerk van ongeveer 16,63 miljoen ZEC.

Dit is niet de eerste grote kwetsbaarheid die het netwerk heeft gekend. In 2019 heeft het netwerk een bug gepatcht die werd beschreven als een "infinite counterfeit" crypto-generator, hoewel deze werd opgelost voordat het een groot probleem werd voor het privacy-coin-netwerk.

Zcash is de grootste stijger van de afgelopen 24 uur onder de top 100 munten naar marktkapitalisatie, volgens CoinGecko-gegevens, en steeg meer dan 14% naar een recente prijs boven de $255. De prijs van de privacy-coin schoot vorig najaar omhoog van ongeveer $50 naar een meerjarig hoogtepunt van bijna $700, maar is de afgelopen maanden gedaald samen met Bitcoin en andere cryptocurrencies.