«Zcash виправив серйозну вразливість, яка дозволяла зловмисникам витягувати кошти з застарілого екранованого пулу протоколу Sprout. Резюме Zcash виправив критичну помилку у вузлах zcashd, яка пропускала перевірку доказів у застарілому пулі Sprout, помилку, яка могла піддати понад 25 000 ZEC потенційному виснаженню. Вразливість», — пишуть на: www.crypto.news
Zcash виправив серйозну вразливість, яка дозволяла зловмисникам витягувати кошти з застарілого екранованого пулу протоколу Sprout.
Резюме
- Zcash виправив критичну помилку у вузлах zcashd, яка пропускала перевірку доказів у застарілому пулі Sprout, помилку, яка могла наражати понад 25 000 ZEC на потенційне виснаження.
- Уразливість залишалася присутньою з липня 2020 року до випуску версії 6.12.0, без виявлення будь-якої експлуатації, і всі кошти користувачів підтверджено безпечними.
У звіті дослідника безпеки Алекса «Скаляра» Сола, опублікованому у вівторок, стверджується, що у вузлах zcashd було виявлено критичну помилку, яка призвела до пропуску перевірки доказів для транзакцій із застарілим пулом Sprout.
Жодних втрат коштів користувача
Пул Sprout від Zcash — це оригінальний «екранований пул», який був запущений у мережі в 2016 році. Це була перша реалізація доказів з нульовим знанням (zk-SNARK) у виробничій криптовалюті, що дозволяє користувачам надсилати та отримувати ZEC конфіденційно.
Незважаючи на те, що пул було закрито для нових депозитів у листопаді 2020 року, він все ще містить приблизно 25 424 ZEC, які ще потрібно перенести на новіші версії захищеного пулу.
Згідно з повідомленням, уразливість охоплювала випуски з липня 2020 року, але була виправлена у версії 6.12.0, яка була випущена у вівторок. Наразі недолік не усунуто, і кошти користувачів залишаються в безпеці.
Основні майнінгові пули, включаючи Luxor, F2Pool, ViaBTC і AntPool, уже розгорнули виправлення до 26 березня, додається у звіті.
У звіті додається, що повна реалізація вузла Zebra не вплинула. У разі спроби експлойту це призвело б до ланцюгової вилки, яка діяла б як додатковий захист.
Незважаючи на серйозність проблеми, команда відкритих розробників Zcash пояснила, що механізм «турнікета» мережі, який забезпечує, щоб будь-які монети, які виходять з пулу Sprout, повинні були раніше в нього потрапити, запобіг би ширшій інфляції пропозиції.
Для мережі Zcash це другий раз, коли критичну системну вразливість було виявлено в її захищених пулах. У 2019 році команда Zcash виявила помилку «підробки», недолік у базовій криптографії, який міг дозволити зловмиснику створити нескінченну кількість ZEC без виявлення.