Badacz bezpieczeństwa odkrył krytyczną lukę w węzłach Zcash, która mogła pozwolić złośliwym górnikom na wyprowadzenie ponad 25 000 ZEC z wycofanej puli ekranowanej Sprout sieci — kwota ta w chwili pisania artykułu była warta około 6,5 miliona dolarów.

Alex „Scalar” Sol ujawnił tę lukę 23 marca, zgodnie z raportem ujawniającym, opublikowanym we wtorek, wskazującym, że węzły zcashd pomijały weryfikację dowodu dla transakcji dotyczących starszej puli Sprout. Błąd nie został wykorzystany, a wszystkie środki użytkowników pozostają bezpieczne, zgodnie z ujawnieniem.

Luka występowała w wersjach od lipca 2020 roku do chwili obecnej, a deweloperzy Zcash wydali we wtorek wersję 6.12.0, aby zawierała poprawkę. Główne pule wydobywcze szybko przystąpiły do łatania swoich systemów – pula wydobywcza Luxor potwierdziła wdrożenie 25 marca, podczas gdy F2Pool, ViaBTC i AntPool wdrożyły poprawkę do 26 marca, zgodnie z tym samym raportem.

Implementacja pełnego węzła Zebra nie była dotknięta luką, jak podano w raporcie, i wywołałaby fork łańcucha, gdyby próbowano ją wykorzystać, co stanowi dodatkową warstwę ochrony sieci.

Sol, który odkrył lukę z pomocą sztucznej inteligencji, zgłosił ją do Shielded Labs 23 marca. Organizacja skoordynowała działania z Zcash Open Development Lab (ZODL), którego inżynier Jack „str4d” Grigg był autorem poprawki.

Za ujawnienie luki, Sol otrzyma nagrodę w wysokości 200 ZEC — o wartości ponad 51 000 USD — przy czym Shielded Labs, ZODL, Zcash Foundation i Bootstrap wnieśli po 50 ZEC.

Pula Sprout została zamknięta dla nowych depozytów w listopadzie 2020 roku, co czyni ją wycofanym, ale nadal aktywnym komponentem, przechowującym około 25 424 ZEC, których użytkownicy jeszcze nie przenieśli do nowszych wersji puli ekranowanej.

Chociaż luka mogła pozwolić na wyprowadzenie tych środków, Zcash Open Development Team (ZODL) stwierdził, że mechanizm „kołowrotu” Zcash zapobiegłby szerszej inflacji podaży. Kołowrót wymaga, aby wszystkie monety opuszczające pulę Sprout musiały do niej weryfikowalnie wejść, tworząc zabezpieczenie przed tworzeniem nowych tokenów poza całkowitą podażą sieci wynoszącą około 16,63 miliona ZEC.

To nie pierwsza duża luka, z którą zmierzyła się sieć. W 2019 roku sieć załatała błąd opisany jako generator kryptowalut „nieskończonej podróbki”, choć został on załatany, zanim stał się poważnym problemem dla sieci monety prywatności.

Zcash jest największym zyskującym w ciągu ostatnich 24 godzin wśród 100 najlepszych monet pod względem kapitalizacji rynkowej, według danych CoinGecko, wzrastając o ponad 14% do ostatniej ceny powyżej 255 USD. Cena monety prywatności poszybowała w górę jesienią ubiegłego roku z około 50 USD do wieloletniego szczytu w okolicach 700 USD, ale w ostatnich miesiącach spadła wraz z Bitcoinem i innymi kryptowalutami.