Un cercetător în securitate a descoperit o vulnerabilitate critică în nodurile Zcash care ar fi putut permite minerilor rău intenționați să dreneze peste 25.000 ZEC din fondul ecranat Sprout depreciat al rețelei—o sumă în valoare de aproximativ 6,5 milioane de dolari la momentul redactării.
Alex "Scalar" Sol a divulgat defecțiunea pe 23 martie, conform unui raport de divulgare publicat marți, dezvăluind că nodurile zcashd săreau peste verificarea dovezii pentru tranzacțiile care implicau fondul Sprout moștenit. Bug-ul nu a fost exploatat și fondurile tuturor utilizatorilor rămân în siguranță, conform divulgării.
Vulnerabilitatea a afectat versiuni de la iulie 2020 până în prezent, dezvoltatorii Zcash lansând v6.12.0 marți pentru a include corecția. Marile pool-uri de mining s-au mișcat rapid pentru a-și corecta sistemele—pool-ul de mining Luxor a confirmat implementarea pe 25 martie, în timp ce F2Pool, ViaBTC și AntPool au implementat toate corecția până pe 26 martie, conform aceluiași raport.
Implementarea nodului complet Zebra nu a fost afectată de vulnerabilitate, a precizat raportul, și ar fi declanșat o ramificare a lanțului (chain fork) dacă s-ar fi încercat exploatarea, oferind un strat suplimentar de protecție a rețelei.
Sol, care a descoperit vulnerabilitatea folosind asistență AI, a raportat-o la Shielded Labs pe 23 martie. Organizația a coordonat cu Zcash Open Development Lab (ZODL), al cărui inginer Jack "str4d" Grigg a scris corecția.
Pentru divulgarea sa, Sol va primi o recompensă totală de 200 ZEC—evaluată la peste 51.000 de dolari—cu Shielded Labs, ZODL, Fundația Zcash și Bootstrap contribuind fiecare cu 50 ZEC.
Fondul Sprout a fost închis pentru depozite noi în noiembrie 2020, devenind o componentă depreciată, dar încă activă, care deține aproximativ 25.424 ZEC pe care utilizatorii nu le-au migrat încă la versiuni mai noi de pool-uri ecranate.
Deși vulnerabilitatea ar fi putut permite drenarea acestor fonduri, Zcash Open Development Team (ZODL) a declarat că mecanismul „turnichet” al Zcash ar fi prevenit o inflație mai amplă a ofertei. Turnichetul impune ca orice monede care părăsesc fondul Sprout să fi intrat verificabil în acesta, creând o măsură de siguranță împotriva creării de noi token-uri dincolo de circulația totală a rețelei de aproximativ 16,63 milioane ZEC.
Aceasta nu este prima vulnerabilitate majoră cu care s-a confruntat rețeaua. În 2019, rețeaua a corectat un bug descris ca un generator de criptomonede false infinite, deși a fost corectat înainte de a deveni o problemă majoră pentru rețeaua monedei de confidențialitate.
Zcash este cel mai mare câștigător în ultimele 24 de ore dintre primele 100 de monede după capitalizarea de piață, conform datelor CoinGecko, crescând cu peste 14% la un preț recent de peste 255 de dolari. Prețul monedei de confidențialitate a crescut vertiginos toamna trecută de la un preț de aproximativ 50 de dolari la un vârf multi-anual de aproape 700 de dolari, dar a scăzut alături de Bitcoin și alte criptomonede în ultimele luni.