Um pesquisador de segurança descobriu uma vulnerabilidade crítica nos nós da Zcash que poderia ter permitido a mineradores maliciosos drenar mais de 25.000 ZEC do pool blindado Sprout, já em desuso na rede — um valor de cerca de US$ 6,5 milhões no momento da escrita.

Alex "Scalar" Sol divulgou a falha em 23 de março, de acordo com um relatório de divulgação lançado na terça-feira, revelando que os nós zcashd estavam ignorando a verificação de prova para transações envolvendo o pool legado Sprout. O bug não foi explorado e todos os fundos dos usuários permanecem seguros, de acordo com a divulgação.

A vulnerabilidade abrangia versões de julho de 2020 até o presente, com os desenvolvedores da Zcash lançando a v6.12.0 na terça-feira para conter a correção. Os principais pools de mineração agiram rapidamente para corrigir seus sistemas — o pool de mineração Luxor confirmou a implementação em 25 de março, enquanto F2Pool, ViaBTC e AntPool implementaram a correção até 26 de março, de acordo com o mesmo relatório.

A implementação do nó completo Zebra não foi afetada pela vulnerabilidade, disse o relatório, e teria acionado um fork da cadeia se a exploração tivesse sido tentada, fornecendo uma camada adicional de proteção à rede.

Sol, que descobriu a vulnerabilidade com a ajuda de IA, a relatou à Shielded Labs em 23 de março. A organização coordenou com o Zcash Open Development Lab (ZODL), cujo engenheiro Jack "str4d" Grigg foi o autor da correção.

Pela sua divulgação, Sol receberá uma recompensa total de 200 ZEC — avaliada em mais de US$ 51.000 — com a Shielded Labs, ZODL, a Zcash Foundation e a Bootstrap contribuindo com 50 ZEC cada.

O pool Sprout foi fechado para novos depósitos em novembro de 2020, tornando-se um componente obsoleto, mas ainda ativo, contendo aproximadamente 25.424 ZEC que os usuários ainda não migraram para versões mais recentes de pools blindados.

Embora a vulnerabilidade pudesse ter permitido o escoamento desses fundos, a Equipe de Desenvolvimento Aberto da Zcash (ZODL) afirmou que o mecanismo de "catraca" da Zcash teria evitado uma inflação mais ampla da oferta. A catraca exige que quaisquer moedas que saiam do pool Sprout tenham entrado nele de forma verificável, criando uma salvaguarda contra a criação de novos tokens além da circulação total da rede de cerca de 16,63 milhões de ZEC.

Esta não é a primeira grande vulnerabilidade que a rede enfrentou. Em 2019, a rede corrigiu um bug descrito como um gerador de cripto "falsificação infinita", embora tenha sido corrigido antes de se tornar um grande problema para a rede da moeda de privacidade.

A Zcash é a maior valorização nas últimas 24 horas entre as 100 principais moedas por capitalização de mercado, de acordo com dados da CoinGecko, subindo mais de 14% para um preço recente acima de US$ 255. O preço da moeda de privacidade disparou no último outono de cerca de US$ 50 para um pico de vários anos perto de US$ 700, mas caiu junto com o Bitcoin e outras criptomoedas nos últimos meses.