Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trong các node Zcash mà có thể đã cho phép các thợ đào độc hại rút hơn 25.000 ZEC từ Sprout shielded pool đã ngừng sử dụng của mạng lưới—một số tiền trị giá khoảng 6,5 triệu USD tại thời điểm viết bài.

Alex "Scalar" Sol đã tiết lộ lỗ hổng vào ngày 23 tháng 3, theo một disclosure report được công bố vào thứ Ba, tiết lộ rằng các node zcashd đã bỏ qua việc xác minh bằng chứng cho các giao dịch liên quan đến Sprout pool cũ. Lỗi này không bị khai thác và tất cả tiền của người dùng vẫn an toàn, theo tiết lộ.

Lỗ hổng này đã tồn tại trong các bản phát hành từ tháng 7 năm 2020 cho đến nay, với các nhà phát triển Zcash đã phát hành v6.12.0 vào thứ Ba để khắc phục. Các mining pool lớn đã nhanh chóng vá hệ thống của họ—Luxor mining pool xác nhận triển khai vào ngày 25 tháng 3, trong khi F2Pool, ViaBTC và AntPool đều đã triển khai bản vá vào ngày 26 tháng 3, theo cùng một báo cáo.

Việc triển khai Zebra full node không bị ảnh hưởng bởi lỗ hổng này, báo cáo cho biết, và lẽ ra sẽ kích hoạt một fork chuỗi nếu việc khai thác được thử, cung cấp một lớp bảo vệ mạng bổ sung.

Sol, người đã phát hiện ra lỗ hổng này với sự hỗ trợ của AI, đã báo cáo cho Shielded Labs vào ngày 23 tháng 3. Tổ chức này đã phối hợp với Zcash Open Development Lab (ZODL), nơi kỹ sư Jack "str4d" Grigg đã tạo ra bản vá.

Để ghi nhận việc tiết lộ này, Sol sẽ nhận được tổng tiền thưởng là 200 ZEC—trị giá hơn 51.000 USD—với Shielded Labs, ZODL, Zcash Foundation và Bootstrap mỗi bên đóng góp 50 ZEC.

Sprout pool đã đóng để nhận các khoản tiền gửi mới vào tháng 11 năm 2020, biến nó thành một thành phần đã ngừng sử dụng nhưng vẫn đang hoạt động, chứa khoảng 25.424 ZEC mà người dùng chưa di chuyển sang các phiên bản shielded pool mới hơn.

Mặc dù lỗ hổng có thể đã cho phép rút số tiền này, Zcash Open Development Team (ZODL) cho biết cơ chế "turnstile" của Zcash sẽ ngăn chặn tình trạng lạm phát nguồn cung rộng hơn. Turnstile yêu cầu bất kỳ đồng tiền nào rời khỏi Sprout pool phải được xác minh là đã vào đó, tạo ra một biện pháp bảo vệ chống lại việc tạo ra các token mới ngoài tổng lưu thông của mạng lưới khoảng 16,63 triệu ZEC.

Đây không phải là lỗ hổng lớn đầu tiên mà mạng lưới này phải đối mặt. Trở lại năm 2019, mạng lưới đã vá một lỗi được mô tả là một công cụ tạo tiền điện tử "giả mạo vô hạn", mặc dù nó đã được vá trước khi trở thành một vấn đề lớn đối với mạng lưới tiền điện tử riêng tư này.

Zcash là đồng tiền tăng giá mạnh nhất trong 24 giờ qua trong số 100 đồng tiền hàng đầu theo vốn hóa thị trường, theo dữ liệu của CoinGecko, tăng hơn 14% lên mức giá gần đây trên 255 USD. Giá của đồng tiền riêng tư này đã tăng vọt vào mùa thu năm ngoái từ khoảng 50 USD lên mức đỉnh cao nhất trong nhiều năm gần 700 USD, nhưng đã giảm cùng với Bitcoin và các loại tiền điện tử khác trong những tháng gần đây.