Un chercheur en sécurité a découvert une vulnérabilité critique dans les nœuds Zcash qui aurait pu permettre à des mineurs malveillants de siphonner plus de 25 000 ZEC du pool blindé Sprout, obsolète du réseau—une somme valant environ 6,5 millions de dollars au moment de la rédaction.

Alex "Scalar" Sol a divulgué la faille le 23 mars, selon un rapport de divulgation publié mardi, révélant que les nœuds zcashd ignoraient la vérification de preuve pour les transactions impliquant l'ancien pool Sprout. Le bug n'a pas été exploité et tous les fonds des utilisateurs restent en sécurité, selon la divulgation.

La vulnérabilité concernait les versions de juillet 2020 à aujourd'hui, les développeurs de Zcash ayant publié la v6.12.0 mardi pour intégrer le correctif. Les principales pools minières ont agi rapidement pour corriger leurs systèmes—la pool minière Luxor a confirmé le déploiement le 25 mars, tandis que F2Pool, ViaBTC et AntPool ont toutes déployé le correctif avant le 26 mars, selon le même rapport.

L'implémentation du nœud complet Zebra n'a pas été affectée par la vulnérabilité, selon le rapport, et aurait déclenché un fork de chaîne si une exploitation avait été tentée, offrant une couche supplémentaire de protection du réseau.

Sol, qui a découvert la vulnérabilité avec l'aide de l'IA, l'a signalée à Shielded Labs le 23 mars. L'organisation a coordonné avec le Zcash Open Development Lab (ZODL), dont l'ingénieur Jack "str4d" Grigg a rédigé le correctif.

Pour sa divulgation, Sol recevra une prime totale de 200 ZEC—évaluée à plus de 51 000 $—avec Shielded Labs, ZODL, la Fondation Zcash et Bootstrap contribuant chacun 50 ZEC.

Le pool Sprout a été fermé aux nouveaux dépôts en novembre 2020, ce qui en fait un composant obsolète mais toujours actif, détenant environ 25 424 ZEC que les utilisateurs n'ont pas encore migrés vers les versions plus récentes du pool blindé.

Bien que la vulnérabilité aurait pu permettre de siphonner ces fonds, l'équipe de développement ouvert de Zcash (ZODL) a déclaré que le mécanisme de « tourniquet » de Zcash aurait empêché une inflation plus large de l'offre. Le tourniquet exige que toute pièce quittant le pool Sprout y soit entrée de manière vérifiable, créant une garantie contre la création de nouveaux jetons au-delà de la circulation totale du réseau d'environ 16,63 millions de ZEC.

Ce n'est pas la première vulnérabilité majeure à laquelle le réseau a été confronté. En 2019, le réseau avait corrigé un bug décrit comme un générateur de crypto-monnaie « contrefaite à l'infini », bien qu'il ait été corrigé avant de devenir un problème majeur pour le réseau de la monnaie privée.

Zcash est le plus grand gagnant des dernières 24 heures parmi les 100 premières pièces par capitalisation boursière, selon les données de CoinGecko, augmentant de plus de 14% pour atteindre un prix récent supérieur à 255 $. Le prix de la monnaie privée a grimpé en flèche l'automne dernier, passant d'environ 50 $ à un sommet pluriannuel près de 700 $, mais a chuté aux côtés du Bitcoin et d'autres crypto-monnaies ces derniers mois.