Zcash 已修補了一個重大漏洞,該漏洞可能允許惡意行為者從該協議已棄用的 Sprout 隱私池中竊取資金。
安全研究員 Alex “Scalar” Sol 週二發布的一份揭露報告指出,zcashd 節點中發現了一個關鍵漏洞,該漏洞導致涉及舊版 Sprout 池的交易的證明驗證被跳過。
Zcash 的 Sprout 池是 2016 年隨網絡一同推出的最初「隱私池」。它是零知識證明(zk-SNARKs)首次在生產型加密貨幣中實施,允許用戶私密地發送和接收 ZEC。
儘管該池於 2020 年 11 月停止接受新存款,但它仍持有約 25,424 ZEC,這些 ZEC 尚未遷移到較新的隱私池版本。
根據該揭露報告,該漏洞影響了自 2020 年 7 月以來的版本,但已透過週二發布的 v6.12.0 版本修復。迄今為止,該漏洞尚未被利用,用戶資金仍然安全。
報告補充說,包括 Luxor、F2Pool、ViaBTC 和 AntPool 在內的主要礦池已於 3 月 26 日部署了修復程式。
報告還指出,Zebra 完整節點實施未受影響。如果發生試圖利用,它將會導致鏈分叉,作為額外的安全防護。
儘管問題嚴重,Zcash 開源開發團隊澄清表示,網絡的「轉門」機制(該機制強制規定任何離開 Sprout 池的代幣必須先前已進入該池)將會防止更廣泛的供應量膨脹。
對於 Zcash 網絡而言,這標誌著第二次在其隱私池中發現關鍵的系統性漏洞。2019 年,Zcash 團隊揭露了一個「偽造」錯誤,這是底層密碼學中的一個缺陷,可能允許攻擊者無限量地創建 ZEC 而不被發現。