- Zcash hat eine kritische Sicherheitslücke in seiner Node-Software behoben, die Millionen Dollar im Wert von ZEC hätte exponieren können.
- Die Schwachstelle betraf die Profromprüfung für Transaktionen, die mit dem veralteten Sprout-„Shielded Pool“ verknüpft waren, auch wenn kein Exploit gemeldet wurde.
Zcash hat einen schwerwiegenden Softwarefehler behoben, der unter den falschen Umständen Angreifern erlaubt hätte, einen nennenswerten Betrag an ZEC aus einem älteren Teil des Netzwerks abzufließen.
Das Problem lag in zcashd, der Node-Software, und stand im Zusammenhang mit Transaktionen, die den Legacy-Sprout-„Shielded Pool“ betreffen.
Laut der Offenlegung übersprangen Nodes in diesen Fällen die Profromprüfung. Genau solche Bugs erhalten in datenschutzorientierten Systemen schnell Aufmerksamkeit, weil Profromchecks kein nebensächliches Detail sind. Sie gehören zur zentralen Maschinerie, die ungültige Überweisungen erst gar nicht akzeptieren lässt.
Ein Bug in einem alten Pool, aber dennoch ein echtes Risiko
Die Schwachstelle wurde von Alex „Scalar“ Sol am 23. März offengelegt, wobei der öffentliche Bericht am Dienstag veröffentlicht wurde. Der betroffene Bereich war nicht der wichtigste aktuelle Datenschutzpfad, an den die meisten Nutzer heute denken, sondern der ältere Sprout-Pool, der bereits als veraltet gilt. Dennoch heißt „deprecatet“ nicht „harmlos“. Wenn dort noch Gelder liegen, bleibt die Angriffsfläche relevant.
Besonders heikel machte den Fehler die Möglichkeit, dass ungültige Transaktionen an einer entscheidenden Validierungsstufe vorbeigleiten könnten. In der Praxis hätte das die Tür geöffnet, um Gelder aus dem Pool abzuschöpfen, ohne dass das Netzwerk das Problem an der Stelle erkennt, an der es es hätte erkennen sollen.
Zcash sagt, die Gelder seien weiterhin sicher
Bisher ist vor allem das wichtig. Der Bug wurde behoben, bevor es zu einer bekannten Ausnutzung kam, und die Offenlegung sagt, dass alle Nutzerfonds weiterhin sicher seien.
Das sollte die akute Panik zwar dämpfen, aber es tilgt nicht die übergreifende Erkenntnis. Legacy-Komponenten in Krypto-Systemen haben die Angewohnheit, noch lange wirtschaftlich relevant zu bleiben, nachdem sich das Ökosystem gedanklich von ihnen abgewandt hat. Alte Pools, ausgemusterte Logik, veraltete Codepfade – all das bleibt wichtig, wenn noch reale Vermögenswerte daran gebunden sind.
Für Zcash geht es bei der Episode weniger um sichtbaren Schaden als um den Wert, einen schweren Validierungsfehler zu erkennen, bevor er zu einem wird. In der Blockchain-Sicherheit ist manchmal die wichtigste Geschichte der Exploit, der nie die Chance hatte.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
RAVE rast in den Rekordmodus, löst den Hype um Copycat-Coins aus, FF und INX decken das „Pump-and-Dump“-Spiel auf
Kürzlich hat eine intensive Investitionswelle, angeführt von sogenannten Klon-/Shitcoins wie RAVE, eine lebhafte Investitionsbegeisterung ausgelöst, aber einige frühere Starprojekte wie FF und INX haben diese Hype-Welle genutzt, um Operationen zur „Kurssteigerung und anschließenden Auslieferung“ durchzuführen: Durch ein schnelles Hochziehen des Coin-Preises wurden Kleinanleger zum Kauf angezogen, anschließend wurden dann in großem Umfang verkauft, was zu einem starken, schnellen Preisverfall führte. Solches Verhalten legt nicht nur die finanziellen Engpässe der Projektteams offen, sondern schädigt auch das Vertrauen der Investoren. Investoren müssen Warnsignale wie kurzfristige, anormale Kursanstiege genau im Blick behalten, um das Risiko zu vermeiden, in einem manipulierten Markt zu geraten.
MarketWhisper2Std her
Das FBI und Indonesien haben gemeinsam ein W3LL-Phishing-Netzwerk zerschlagen; der Fall betrifft mehr als 20 Millionen US-Dollar.
Das FBI der Vereinigten Staaten und die Polizei von Indonesien haben erfolgreich mit dem Zugriff auf ein W3LL-Phishing-Netzwerk kooperiert, relevante Geräte beschlagnahmt und Verdächtige festgenommen. Das W3LL-Phishing-Toolset bietet gefälschte Login-Seiten zu einem niedrigen Preis an, um die Multi-Faktor-Authentifizierung mithilfe von Man-in-the-Middle-Angriffen mühelos zu umgehen, und schafft so ein organisiertes Ökosystem von Cyberkriminalität. Diese Aktion markiert die Zusammenarbeit zwischen den USA und Indonesien bei der Strafverfolgung im Bereich Cyberkriminalität, doch die Sicherheitsbedrohung für Nutzer von Kryptowährungen bleibt weiterhin ernst.
MarketWhisper6Std her
Squads Notfallwarnung: Adressenvergiftung, gefälschte Multi-Signature-Konten. Das Whitelist-Mechanismus wird live gehen
Mehrfachsignatur-Protokoll in der Solana-Ökologie: Squads gibt eine Warnung heraus und weist darauf hin, dass Angreifer einen Address-Poisoning-Angriff gegen Nutzer gestartet haben. Dabei werden Nutzer durch die Fälschung von Konten zu unangemessenen Überweisungen verleitet. Squads bestätigt, dass kein finanzieller Schaden entstanden ist, und betont, dass es sich um einen Social-Engineering-Angriff handelt und nicht um eine Schwachstelle im Protokoll. Zur Reaktion hat Squads Schutzmaßnahmen umgesetzt, darunter ein Warnsystem, Hinweise für nicht-interagierende Konten sowie einen Whitelist-Mechanismus. Dieses Ereignis zeigt das Wachstum der Social-Engineering-Bedrohungen in der Solana-Ökologie und führt zu fortlaufenden Sicherheitsüberprüfungen.
MarketWhisper6Std her
Koreanische „Vergeltungs“-Vermittlungsinstitutionen nehmen USDT als Gebühr, um Gewaltkriminalität abzuwickeln; der Haupttäter betreibt die Organisation nach der Festnahme weiter
In Südkorea sind kürzlich mehrere „Rache- Vermittler“-Organisationen aufgetaucht, die Kryptowährungen als Zahlungsmittel nutzen. Sie bieten über Telegram Droh- und Morddienste an. Obwohl der Haupttäter festgenommen wurde, werden die entsprechenden Anzeigen weiterhin veröffentlicht. Die Polizei ermittelt in über 50 Fällen und hat ungefähr 30 Personen festgenommen.
GateNews8Std her
Fake Ledger-App im Apple App Store entzieht dem Ruhestandsfonds eines Musikers 5,9 BTC
Eine gefälschte Ledger-App im App Store von Apple hat den Musiker Garrett Dutton getäuscht und dazu gebracht, 5.9 BTC zu verlieren, indem sie seine Seed-Phrase eingab. Dieser Fall verdeutlicht anhaltende Wallet-Betrügereien und die Ausnutzung von Vertrauen, da das gestohlene Bitcoin über KuCoin gewaschen wurde.
CryptoNewsFlash12Std her
Ein CEX wird erpresst, aber bleibt standhaft: Betroffen sind etwa 2000 Konten, die Kundengelder sind nicht gefährdet
Eine Krypto-Börse wurde von einer kriminellen Organisation erpresst, die behauptet, Videoaufnahmen zum Zugriff auf interne Systeme zu veröffentlichen. Die Börse bestätigte, dass keine systematische Kompromittierung erfolgt sei, dass die Kundengelder sicher seien. Aufgrund unangemessenen Verhaltens von Mitarbeitern im Kundenservice wurden jedoch etwa 2000 Kontodaten abgerufen; die entsprechenden Berechtigungen wurden beendet und die Sicherheitskontrollen wurden verstärkt. Das Unternehmen arbeitet derzeit mit Strafverfolgungsbehörden zusammen, um die Angelegenheit zu untersuchen.
GateNews16Std her
