Zcash załatał poważną lukę, która mogłaby pozwolić złym aktorom na opróżnienie funduszy z przestarzałej, osłoniętej puli Sprout protokołu.
Raport ujawniający autorstwa badacza bezpieczeństwa Alexa „Scalara” Sola, opublikowany we wtorek, twierdzi, że w węzłach zcashd odkryto krytyczną wadę, która skutkowała pomijaniem weryfikacji dowodu dla transakcji obejmujących starszą pulę Sprout.
Pula Sprout Zcash to oryginalna „pula osłonięta”, która została uruchomiona wraz z siecią w 2016 roku. Była to pierwsza implementacja dowodów zerowej wiedzy (zk-SNARKs) w produkcyjnej kryptowalucie, umożliwiająca użytkownikom prywatne wysyłanie i odbieranie ZEC.
Chociaż pula została zamknięta dla nowych depozytów w listopadzie 2020 roku, nadal przechowuje około 25 424 ZEC, które jeszcze nie zostały zmigrowane do nowszych wersji pul osłoniętych.
Zgodnie z ujawnieniem, luka obejmowała wydania od lipca 2020 roku, ale została naprawiona w wersji v6.12.0, która została wydana we wtorek. Jak dotąd, wada nie została wykorzystana, a fundusze użytkowników pozostają bezpieczne.
Główne pule wydobywcze, w tym Luxor, F2Pool, ViaBTC i AntPool, wdrożyły już poprawkę do 26 marca, dodano w raporcie.
W raporcie dodano, że implementacja pełnego węzła Zebra nie została naruszona. W przypadku próby wykorzystania luki, skutkowałoby to forkiem łańcucha, działając jako dodatkowe zabezpieczenie.
Pomimo powagi problemu, Zcash Open Development Team wyjaśnił, że mechanizm „kołowrotka” sieci, który wymusza, aby wszystkie monety wychodzące z puli Sprout wcześniej do niej weszły, zapobiegłby szerszej inflacji podaży.
Dla sieci Zcash jest to już drugi raz, kiedy w jej pulach osłoniętych odkryto krytyczną, systemową lukę. W 2019 roku zespół Zcash ujawnił błąd „fałszowania”, wadę w bazowej kryptografii, która mogłaby pozwolić atakującemu na stworzenie nieskończonej ilości ZEC bez wykrycia.
