Zcash telah menambal kerentanan besar yang memungkinkan aktor jahat menguras dana dari Sprout shielded pool yang sudah tidak digunakan lagi oleh protokol tersebut.
Laporan pengungkapan dari peneliti keamanan Alex “Scalar” Sol, yang diterbitkan pada hari Selasa, menyatakan bahwa cacat kritis ditemukan pada node zcashd yang mengakibatkan dilewati verifikasi bukti untuk transaksi yang melibatkan Sprout pool lama.
Sprout pool Zcash adalah “shielded pool” asli yang diluncurkan bersama jaringan tersebut pada tahun 2016. Ini adalah implementasi pertama dari zero-knowledge proofs (zk-SNARKs) dalam cryptocurrency produksi, memungkinkan pengguna untuk mengirim dan menerima ZEC secara pribadi.
Meskipun pool ini ditutup untuk deposit baru pada November 2020, ia masih menyimpan sekitar 25.424 ZEC, yang belum dimigrasikan ke versi shielded pool yang lebih baru.
Menurut pengungkapan tersebut, kerentanan ini mencakup rilis dari Juli 2020 dan seterusnya tetapi telah diperbaiki melalui v6.12.0, yang dirilis pada hari Selasa. Sejauh ini, cacat tersebut belum dieksploitasi, dan dana pengguna tetap aman.
Pool penambangan utama, termasuk Luxor, F2Pool, ViaBTC, dan AntPool, telah menerapkan perbaikan tersebut pada 26 Maret, tambah laporan itu.
Laporan tersebut menambahkan bahwa implementasi full node Zebra tidak terpengaruh. Jika terjadi upaya eksploitasi, itu akan mengakibatkan chain fork, bertindak sebagai pengaman tambahan.
Meskipun masalah ini serius, Zcash Open Development Team telah mengklarifikasi bahwa mekanisme “turnstile” jaringan, yang memberlakukan bahwa koin apa pun yang keluar dari Sprout pool harus sebelumnya masuk ke dalamnya, akan mencegah inflasi pasokan yang lebih luas.
Bagi jaringan Zcash, ini menandai kedua kalinya kerentanan kritis dan sistemik ditemukan dalam shielded pool-nya. Pada tahun 2019, tim Zcash mengungkapkan bug “pemalsuan”, cacat dalam kriptografi yang mendasarinya yang dapat memungkinkan penyerang membuat sejumlah ZEC tak terbatas tanpa terdeteksi.