#### 简而言之* 一名安全研究人员发现了 Zcash 节点中的一个关键漏洞,该漏洞绕过了已弃用的 Sprout 隐匿池(shielded pool)的证明验证。* 主要挖矿矿池在三天内部署了补丁,而 Zcash 开发者在周二发布了 v6.12.0。* Zcash 的“周转门(turnstile)”机制即使在矿池被攻破的情况下,也能防止更大范围的供应膨胀。一名安全研究人员发现了 Zcash 节点中的一个关键漏洞,本可使恶意矿工从网络已弃用的 Sprout 隐匿池中挖走超过 25,000 ZEC——截至撰写时这笔金额约合 650 万美元。据周二发布的一份披露报告称,Alex “Scalar” Sol 在 3 月 23 日披露了该漏洞,报告显示 zcashd 节点在处理涉及传统 Sprout 池的交易时会跳过证明验证。披露称,该漏洞尚未被利用,且所有用户资金仍然安全。该漏洞覆盖了从 2020 年 7 月以来至今的多个版本。为遏制该修复,Zcash 开发者在周二发布了 v6.12.0。主要挖矿矿池迅速行动为系统打补丁——同一报告称,Luxor 矿池在 3 月 25 日确认部署,而 F2Pool、ViaBTC 和 AntPool 则都在 3 月 26 日前部署了该修复。<span data-mce-type="bookmark" style="display:inline-block;width:0px;overflow:hidden;line-height:0" class="mce_SELRES_start"></span>报告称,该漏洞并未影响 Zebra 全节点实现;若尝试利用,该实现将触发链分叉,从而提供额外一层网络保护。Sol 使用 AI 辅助发现了该漏洞,并于 3 月 23 日向 Shielded Labs 报告。该组织与 Zcash 开放开发实验室(ZODL)协同,由其工程师 Jack “str4d” Grigg 编写了补丁。就其披露行为,Sol 将获得总计 200 ZEC 的赏金——按价值折算超过 51,000 美元;其中 Shielded Labs、ZODL、Zcash 基金会 与 Bootstrap 各出资 50 ZEC。Sprout 池在 2020 年 11 月停止接受新存款,因此它属于已弃用但仍在运行的组成部分,当前持有约 25,424 ZEC,而用户尚未将其迁移到更新的隐匿池版本。尽管该漏洞本可使这些资金被挪走,但 Zcash 开放开发团队(ZODL)表示,Zcash 的“周转门(turnstile)”机制本可以防止更大范围的供应膨胀。周转门要求任何从 Sprout 池离开的币必须可验证地进入过该池,从而形成对创建新代币的防护,防止其超出网络总流通量约 16.63 百万 ZEC 的范围。这并不是网络面临的首次重大漏洞。早在 2019 年,网络就修补了一个被描述为“无限造假(infinite counterfeit)”的加密货币生成器漏洞,不过它在成为隐私币网络的重大问题之前就被修补掉了。根据 CoinGecko 数据,Zcash 在过去 24 小时内是按市值排名前 100 的币种中涨幅最大的。截至目前,价格上涨超过 14%,达到近期 255 美元以上的水平。去年秋季,隐私币价格从约 50 美元暴涨到多年高点接近 700 美元,但在近几个月里,它的走势也跟随比特币和其他加密货币一起下跌。### 每日复盘通讯每天都从此刻的头条新闻开始,外加原创专栏、播客、视频等。你的邮箱获取它!获取它!
Zcash漏洞已修复,曾使数百万美元的ZEC面临风险
简而言之
一名安全研究人员发现了 Zcash 节点中的一个关键漏洞,本可使恶意矿工从网络已弃用的 Sprout 隐匿池中挖走超过 25,000 ZEC——截至撰写时这笔金额约合 650 万美元。
据周二发布的一份披露报告称,Alex “Scalar” Sol 在 3 月 23 日披露了该漏洞,报告显示 zcashd 节点在处理涉及传统 Sprout 池的交易时会跳过证明验证。披露称,该漏洞尚未被利用,且所有用户资金仍然安全。
该漏洞覆盖了从 2020 年 7 月以来至今的多个版本。为遏制该修复,Zcash 开发者在周二发布了 v6.12.0。主要挖矿矿池迅速行动为系统打补丁——同一报告称,Luxor 矿池在 3 月 25 日确认部署,而 F2Pool、ViaBTC 和 AntPool 则都在 3 月 26 日前部署了该修复。
报告称,该漏洞并未影响 Zebra 全节点实现;若尝试利用,该实现将触发链分叉,从而提供额外一层网络保护。
Sol 使用 AI 辅助发现了该漏洞,并于 3 月 23 日向 Shielded Labs 报告。该组织与 Zcash 开放开发实验室(ZODL)协同,由其工程师 Jack “str4d” Grigg 编写了补丁。
就其披露行为,Sol 将获得总计 200 ZEC 的赏金——按价值折算超过 51,000 美元;其中 Shielded Labs、ZODL、Zcash 基金会 与 Bootstrap 各出资 50 ZEC。
Sprout 池在 2020 年 11 月停止接受新存款,因此它属于已弃用但仍在运行的组成部分,当前持有约 25,424 ZEC,而用户尚未将其迁移到更新的隐匿池版本。
尽管该漏洞本可使这些资金被挪走,但 Zcash 开放开发团队(ZODL)表示,Zcash 的“周转门(turnstile)”机制本可以防止更大范围的供应膨胀。周转门要求任何从 Sprout 池离开的币必须可验证地进入过该池,从而形成对创建新代币的防护,防止其超出网络总流通量约 16.63 百万 ZEC 的范围。
这并不是网络面临的首次重大漏洞。早在 2019 年,网络就修补了一个被描述为“无限造假(infinite counterfeit)”的加密货币生成器漏洞,不过它在成为隐私币网络的重大问题之前就被修补掉了。
根据 CoinGecko 数据,Zcash 在过去 24 小时内是按市值排名前 100 的币种中涨幅最大的。截至目前,价格上涨超过 14%,达到近期 255 美元以上的水平。去年秋季,隐私币价格从约 50 美元暴涨到多年高点接近 700 美元,但在近几个月里,它的走势也跟随比特币和其他加密货币一起下跌。
每日复盘通讯
每天都从此刻的头条新闻开始,外加原创专栏、播客、视频等。
你的邮箱
获取它!
获取它!