Zcash устранил серьезную уязвимость, которая позволяла злоумышленникам выводить средства из устаревшего защищенного пула Sprout. В опубликованном во вторник отчете исследователя безопасности Алекса Сола утверждается, что в узлах zcashd была обнаружена критическая уязвимость, приводящая к пропуску проверки подтверждения для транзакций, связанных с устаревшим пулом Sprout.
Средства пользователей не были потеряны
Пул Sprout от Zcash — это оригинальный «защищенный пул», запущенный вместе с сетью в 2016 году. Он стал первой реализацией доказательств с нулевым разглашением (zk-SNARKs) в действующей криптовалюте, позволяя пользователям отправлять и получать ZEC конфиденциально.
Несмотря на то, что в ноябре 2020 года прием новых депозитов в пул был прекращен, в нем по-прежнему находится приблизительно 25 424 ZEC, которые еще не переведены в более новые версии экранированных пулов.
Согласно полученной информации, уязвимость встречалась в версиях, выпущенных начиная с июля 2020 года, но была устранена в версии 6.12.0, которая была выпущена во вторник. До сих пор эта уязвимость не была использована злоумышленниками, и средства пользователей остаются в безопасности.
В отчете также отмечается, что крупные майнинговые пулы, включая Luxor, F2Pool, ViaBTC и AntPool, уже внедрили исправление к 26 марта.
В отчете также отмечалось, что реализация Zebra на всех узлах не пострадала. В случае попытки эксплуатации уязвимости это привело бы к форку блокчейна, что послужило бы дополнительной защитой.
Несмотря на серьезность проблемы, команда разработчиков Zcash Open Development Team уточнила, что механизм «турникета» сети, который требует, чтобы любые монеты, покидающие пул Sprout, предварительно в него входили, предотвратил бы более масштабную инфляцию предложения.
Для сети Zcash это уже второй случай обнаружения критической системной уязвимости в её защищённых пулах. В 2019 году команда Zcash сообщил об ошибке «подделки» — недостатке в базовой криптографии, который мог позволить злоумышленнику создать бесконечное количество ZEC без обнаружения.
Читайте также:
