Вразливість Zcash, яка поставила під загрозу мільйони доларів ZEC, була виправлена

Коротко

• Дослідник безпеки виявив критичну вразливість у нодах Zcash, яка обходила перевірку доказів для застарілого екранованого пулу Sprout.
• Великі майнінгові пули розгорнули патч протягом трьох днів, а розробники Zcash у вівторок випустили v6.12.0.
• Механізм Zcash «турнікет» (turnstile) запобіг би ширшому роздуванню пропозиції навіть у разі компрометації пулу.

Дослідник безпеки виявив критичну вразливість у нодах Zcash, яка могла б дозволити зловмисним майнерам вивести з мережі понад 25,000 ZEC із застарілого екранованого пулу Sprout — суми, що на момент публікації дорівнювала приблизно $6.5 мільйона.

Alex «Scalar» Sol розкрив ваду 23 березня, згідно з репортажем про розкриття, оприлюдненим у вівторок. Повідомлялося, що ноди zcashd пропускали перевірку доказів для транзакцій із застарілим пулом Sprout. За даними розкриття, ваду не використовували, і кошти всіх користувачів залишаються в безпеці.

Вразливість охоплювала релізи з липня 2020 року до теперішнього часу. У вівторок розробники Zcash випустили v6.12.0, щоб усунути цю проблему. Великі майнінгові пули швидко перейшли до патчення своїх систем: майнінговий пул Luxor підтвердив розгортання 25 березня, тоді як F2Pool, ViaBTC та AntPool усі розгорнули виправлення до 26 березня, згідно з тим самим звітом.



Повна нода Zebra, як зазначає звіт, не була уражена цією вразливістю, і під час спроби експлуатації вона би спровокувала розгалуження ланцюга (chain fork), забезпечивши додатковий рівень захисту мережі.

Sol, який виявив вразливість за допомогою допомоги ШІ, повідомив про неї Shielded Labs 23 березня. Організація координувала роботу з Zcash Open Development Lab (ZODL), інженер якого Джек «str4d» Грінг (Jack «str4d» Grigg) написав патч.

За своє розкриття Sol отримає загальну винагороду (bounty) у розмірі 200 ZEC — вартістю понад $51,000 — від Shielded Labs, ZODL, Zcash Foundation і Bootstrap, причому кожен із них внесе по 50 ZEC.

Пул Sprout закрили для нових депозитів у листопаді 2020 року, тож він є застарілим, але все ще активним компонентом, що містить приблизно 25,424 ZEC, які користувачі ще не мігрували на новіші версії екранованого пулу.

Хоча ця вразливість могла б дозволити виведення цих коштів, команда Zcash Open Development Team (ZODL) заявила, що механізм Zcash «турнікет» (turnstile) запобіг би ширшому роздуванню пропозиції. Турнікет вимагає, щоб будь-які монети, що виходять із пулу Sprout, були перевірено (verifiably) туди введені, створюючи запобіжник проти створення нових токенів понад загальну циркуляцію мережі приблизно 16.63 мільйона ZEC.

Це не перша велика вразливість, з якою зіткнулася мережа. Ще у 2019 році мережа виправила баг, описаний як «безмежний генератор підробок» (infinite counterfeit) криптогенератор, хоча його виправили ще до того, як він став серйозною проблемою для мережі приватної монети.

Zcash є найбільшим виграшним активом за останні 24 години серед топ-100 монет за ринковою капіталізацією — за даними CoinGecko — зростаючи більш ніж на 14% до нещодавньої ціни понад $255. Ціна приватної монети стрімко злетіла минулої осені з приблизно $50 до максимуму за кілька років — майже $700, але в останні місяці падала разом із Bitcoin та іншими криптовалютами.

Щоденний дайджест-розсилання

Розпочинайте кожен день з головних новин прямо зараз, а також із оригінальними матеріалами, подкастом, відео та іншим.

Ваша електронна пошта

Отримати!

Отримати!