Seorang peneliti keamanan menemukan kerentanan kritis pada node Zcash yang dapat memungkinkan penambang jahat untuk menguras lebih dari 25.000 ZEC dari kumpulan terlindung (shielded pool) Sprout jaringan yang sudah tidak digunakan lagi—jumlah yang bernilai sekitar $6,5 juta saat artikel ini ditulis.

Alex "Scalar" Sol mengungkapkan cacat ini pada 23 Maret, menurut laporan pengungkapan yang dirilis pada hari Selasa, mengungkapkan bahwa node zcashd melewatkan verifikasi bukti untuk transaksi yang melibatkan pool Sprout lama. Bug tersebut tidak dieksploitasi dan semua dana pengguna tetap aman, menurut pengungkapan tersebut.

Kerentanan ini mencakup rilis dari Juli 2020 hingga saat ini, dengan pengembang Zcash merilis v6.12.0 pada hari Selasa untuk mengatasi perbaikan. Pool penambangan utama bergerak cepat untuk memperbaiki sistem mereka—pool penambangan Luxor mengonfirmasi penerapannya pada 25 Maret, sementara F2Pool, ViaBTC, dan AntPool semuanya menerapkan perbaikan pada 26 Maret, menurut laporan yang sama.

Implementasi node penuh Zebra tidak terpengaruh oleh kerentanan tersebut, kata laporan itu, dan akan memicu fork rantai jika eksploitasi telah dicoba, memberikan lapisan perlindungan jaringan tambahan.

Sol, yang menemukan kerentanan tersebut menggunakan bantuan AI, melaporkannya ke Shielded Labs pada 23 Maret. Organisasi tersebut berkoordinasi dengan Zcash Open Development Lab (ZODL), yang insinyurnya, Jack "str4d" Grigg, menulis perbaikan tersebut.

Untuk pengungkapannya, Sol akan menerima hadiah total 200 ZEC—senilai lebih dari $51.000—dengan Shielded Labs, ZODL, Zcash Foundation, dan Bootstrap masing-masing menyumbangkan 50 ZEC.

Pool Sprout ditutup untuk setoran baru pada November 2020, menjadikannya komponen yang sudah tidak digunakan lagi tetapi masih aktif, menampung sekitar 25.424 ZEC yang belum dimigrasikan pengguna ke versi kumpulan terlindung yang lebih baru.

Meskipun kerentanan tersebut dapat memungkinkan pengurasan dana ini, Zcash Open Development Team (ZODL) mengatakan bahwa mekanisme "turnstile" Zcash akan mencegah inflasi pasokan yang lebih luas. Turnstile mengharuskan setiap koin yang meninggalkan pool Sprout harus terverifikasi telah masuk ke dalamnya, menciptakan perlindungan terhadap pembuatan token baru di luar total sirkulasi jaringan sekitar 16,63 juta ZEC.

Ini bukan kerentanan besar pertama yang dihadapi jaringan ini. Kembali pada tahun 2019, jaringan tersebut memperbaiki bug yang digambarkan sebagai generator kripto "pemalsuan tak terbatas", meskipun telah diperbaiki sebelum menjadi masalah besar bagi jaringan koin privasi tersebut.

Zcash adalah koin dengan kenaikan terbesar dalam 24 jam terakhir di antara 100 koin teratas berdasarkan kapitalisasi pasar, menurut data CoinGecko, naik lebih dari 14% ke harga terbaru di atas $255. Harga koin privasi ini meroket musim gugur lalu dari harga sekitar $50 ke puncak multi-tahun mendekati $700, tetapi telah turun bersama Bitcoin dan mata uang kripto lainnya dalam beberapa bulan terakhir.