- Zcashは、ZECの数百万ドル相当が流出する可能性があった重大な脆弱性をノードソフトウェアで修正しました。
- この欠陥は、廃止されたSproutシールドプールに紐づく取引の証明(プローフ)検証に影響しましたが、悪用は報告されていません。
Zcashは、状況によっては攻撃者がネットワークの古い領域から重要な量のZECを奪い取れる可能性があった深刻なソフトウェアの欠陥を修正しました。
問題はノードソフトウェアであるzcashdの内部にあり、旧来のSproutシールドプールを含む取引に焦点を当てていました。
開示によると、そうしたケースではノードが証明の検証をスキップしていました。これは、プライバシー重視のシステムではすぐに注目を集めるタイプのバグです。というのも、証明(プローフ)チェックは単なる付随的なものではなく、無効な送金がそもそも受け入れられないようにする中核の仕組みの一部だからです。
古いプールのバグだが、それでも本当のリスク
この脆弱性は、3月23日にAlex「Scalar」Solによって開示され、火曜日に公開レポートが出されました。影響を受けた領域は、今日多くのユーザーが思い浮かべる主要な現行のプライバシー経路ではありませんでしたが、すでに非推奨となっている古いSproutプールでした。それでも、非推奨は無害を意味しません。そこに資金がまだ残っているなら、攻撃対象の表面は依然として重要なままです。
この欠陥が特にデリケートだったのは、無効な取引が重要なバリデーション手順をすり抜ける可能性があったことです。実務的には、それによってネットワークが問題を検知して阻止する前に、プールから資金を吸い上げる道が開かれていたかもしれません。
Zcashは資金は安全だと言います
現時点で重要なのはここです。バグは既知の悪用が発生する前に修正されており、開示ではすべてのユーザー資金が安全だとされています。
これは差し迫ったパニックを落ち着かせるはずですが、より広い教訓を消し去るわけではありません。暗号資産のシステムにあるレガシー要素は、エコシステムがそれらから心の中で切り替わったずっと後になっても、経済的に関連し続ける傾向があります。古いプール、引退したロジック、非推奨のコードパスといったものは、実際の資産が結び付いたままであれば、今でも重要です。
Zcashにとって、この出来事は目に見える損害よりも、深刻なバリデーション失敗がそれになる前に食い止める価値に関するものです。ブロックチェーンのセキュリティでは、ときに最も重要な物語とは、そもそも悪用の機会すら与えられなかった“悪用が起きなかった話”です。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
Cowswapのフロントエンドが攻撃を受け、ユーザーに対して許可の取り消しが促される
BlockaidのセキュリティシステムがCowswapに対するフロントエンド攻撃を検知し、WebサイトCOW.FIを悪意があるものとしてフラグ付けしました。ユーザーには、ウォレットの権限を取り消し、DAppとのやり取りを控えるよう促されています。
GateNews2時間前
Polymarket 審査エコシステム内のスタートアップを対象に、インサイダー取引や市場操作行為を取り締まる
Polymarketは、疑わしいインサイダー取引の口座情報を利用してユーザーの取引を誘導したとされる、連携されたいくつかの新興企業プロジェクトに対する監査を発表した。この取り組みは、コンプライアンス管理を強化し、インサイダー取引のリスクに関する外部の懸念に対応することを目的としている。
GateNews5時間前
2026年Q1のWeb3プロジェクトは、ハッキングと詐欺による損失が4.6億米ドルを超え、フィッシング攻撃が優勢を占めています
Hackenが公開したレポートによると、2026年の第1四半期にWeb3プロジェクトがハッキングや詐欺によって被った損失は4.645億ドルで、フィッシングおよびソーシャルエンジニアリング攻撃による損失は3.06億ドルに達している。さらに、ハードウェアウォレットの詐欺が主な損失を占めている。加えて、スマートコントラクトの脆弱性やアクセス制御の失敗もsignificantな損失につながっている。規制面では、欧州の法律枠組みにより安全監視の要件が強化された。
GateNews9時間前
RAVEが急騰して山寨(コピー)コインの熱狂を爆発させる中、FFとINXが「ポンプ・アンド・ダンプ(釣り上げて売り抜ける)」の手口を暴露
最近、RAVE を代表とするミームコインが激しい投資ブームを巻き起こしていますが、一部の旧来のスター・プロジェクトである FF や INX は、この熱狂を利用して「釣り上げて売り抜く」行為を行っています。迅速にコイン価格を押し上げて個人投資家の買いを誘い、その後に大きく投げ売りすることで、価格が急速に下落しています。このような行為は、プロジェクト側の資金繰りの困難さを露呈するだけでなく、投資家の信頼を損ないます。投資家は、短期間での異常な急騰などのシグナルに警戒し、相場操作のリスクに巻き込まれないようにする必要があります。
MarketWhisper12時間前
FBI とインドネシアが共同で W3LL フィッシング・ネットワークを摘発、関係額は 2000 万米ドル超
米国FBIとインドネシア警察が連携し、W3LLフィッシング・ネットワークを首尾よく摘発して関連する設備を押収し、容疑者を拘束した。W3LLフィッシングのツールキットは低価格で偽のログインページを提供し、中間者攻撃を利用して多要素認証を容易に回避することで、組織化されたネット犯罪の生態を形成している。今回の行動は、米国とインドネシアがネット犯罪の取締りにおいて協力したことを示しているが、暗号資産のユーザーに対する安全上の脅威はいまだ深刻だ。
MarketWhisper16時間前
Squads 緊急警告:アドレスへの毒物注入による偽造マルチシグ口座、ホワイトリスト機構が公開予定
Solanaエコシステムのマルチシグ協議であるSquadsが警告を発し、攻撃者がユーザーに対してアドレス投毒攻撃を仕掛け、偽のアカウントでユーザーを誘導して不正な送金を行わせたと指摘しました。Squadsは資金の損失がなかったことを確認し、これは協議の脆弱性ではなくソーシャルエンジニアリング攻撃だと強調しています。対策として、Squadsは警告システム、非インタラクティブなアカウントの提示、ホワイトリスト機構などの防御策を実施しました。この出来事は、Solanaエコシステムにおけるソーシャルエンジニアリングの脅威が増加していることを示すとともに、継続的なセキュリティの見直しを引き起こしています。
MarketWhisper16時間前
