- A Zcash corrigiu uma vulnerabilidade crítica no software do seu nó, que poderia ter exposto milhões de dólares em ZEC.
- A falha afetou a verificação de provas para transações ligadas ao pool protegido Sprout descontinuado, embora não tenha sido reportado qualquer exploit.
A Zcash aplicou uma correção para uma falha de software grave que, em circunstâncias erradas, poderia ter permitido aos atacantes esvaziar uma quantidade significativa de ZEC de uma parte mais antiga da rede.
O problema estava dentro do zcashd, o software do nó, e centrou-se em transações que envolvem o pool protegido legado Sprout.
De acordo com o anúncio, os nós estavam a ignorar a verificação de provas nesses casos. É um tipo de bug que ganha atenção rapidamente em sistemas focados na privacidade, porque as verificações de provas não são um detalhe secundário. Fazem parte da maquinaria central que impede, desde logo, que transferências inválidas sejam aceites.
Um bug num pool antigo, mas ainda um risco real
A vulnerabilidade foi divulgada por Alex “Scalar” Sol a 23 de março, com o relatório público a ser lançado na terça-feira. A área afetada não era o principal caminho de privacidade em uso hoje, que a maioria dos utilizadores tem em mente, mas sim o pool Sprout mais antigo, que já foi descontinuado. Ainda assim, descontinuado não significa inofensivo. Se os fundos ainda estiverem lá, a superfície de ataque continua relevante.
O que tornou a falha especialmente sensível foi a possibilidade de transações inválidas conseguirem passar uma etapa crítica de validação. Em termos práticos, isso poderia ter aberto a porta ao esvaziamento de fundos do pool sem que a rede detetasse o problema onde deveria detetá-lo.
A Zcash diz que os fundos continuam seguros
Por enquanto, a parte importante é esta. O bug foi corrigido antes de qualquer exploração conhecida, e a divulgação afirma que todos os fundos dos utilizadores continuam seguros.
Isso deverá acalmar o pânico imediato, embora não apague a lição mais ampla. Componentes legados em sistemas de criptografia têm o hábito de continuar economicamente relevantes muito tempo depois de o ecossistema ter seguido em frente mentalmente. Pools antigos, lógica aposentada, caminhos de código descontinuados — essas coisas continuam a importar quando ativos reais permanecem ligados.
Para a Zcash, o episódio tem menos a ver com danos visíveis e mais com o valor de detetar uma falha séria de validação antes de se transformar numa. Em segurança de blockchain, por vezes a história mais importante é o exploit que nunca chegou sequer a ter a oportunidade.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Desenvolvedores do Bitcoin Propõem o BIP 361 para Se Proteger Contra Ameaças da Computação Quântica
Os desenvolvedores do Bitcoin propuseram o BIP 361 para proteger a rede contra riscos de computadores quânticos, congelando endereços vulneráveis. A proposta inclui um plano em fases para fazer a transição dos usuários para carteiras resistentes a ataques quânticos, mas ela gerou debate sobre controle do usuário e segurança.
GateNews2m atrás
Hackers exploram plugin do Obsidian para espalhar o Trojan PHANTOMPULSE com C2 baseado em blockchain
Os Laboratórios de Segurança do Elastic revelaram que agentes de ameaças se passaram por empresas de capital de risco no LinkedIn e no Telegram para implantar um RAT do Windows chamado PHANTOMPULSE, usando cofres de anotações do Obsidian para os ataques, o que o Elastic Defend conseguiu bloquear com sucesso.
GateNews1h atrás
A carteira quente Zerion perde $100K em um ataque de engenharia social conduzido por IA por hackers ligados à Coreia do Norte
A Zerion confirmou um ataque recente de engenharia social orientado por IA por hackers norte-coreanos, resultando em uma perda de $100.000 com carteiras quentes corporativas. Os fundos dos usuários permanecem seguros, e a empresa tomou medidas preventivas. Isso acontece após outro ataque significativo ao Drift Protocol.
GateNews1h atrás
O CoW Swap pausa o protocolo após sequestro de DNS que drena pelo menos $1M dos fundos dos usuários
A CoW Swap suspendeu seu protocolo após o sequestro de DNS redirecionar usuários para um site fraudulento, resultando em mais de $1 milhões em roubo de criptomoedas. O incidente levou a ações preventivas e alertas aos usuários, enquanto medidas de segurança foram implementadas.
GateNews3h atrás
A Lattice anuncia o encerramento: Redstone fecha a 16 de Maio, com retirada pelos utilizadores dentro do prazo
O programador de infraestruturas para jogos de cadeia Lattice anunciou que vai encerrar a 15 de Maio e alertou os utilizadores para levantarem os fundos. Após a paragem, os fundos dos contratos não podem ser levantados via contratos L1; apenas os fundos das carteiras pessoais podem ser recuperados. A Lattice não conseguiu concretizar o seu modelo de negócio ao longo dos últimos cinco anos, pelo que acabou por decidir encerrar, mas a sua framework MUD e o jogo DUST continuarão a funcionar.
MarketWhisper4h atrás
Utilizador perde $316K USDC após assinar uma transação maliciosa do Permit2, a GoPlus avisa
Um utilizador perdeu 316.000$ em USDC devido a uma transação maliciosa do Permit2, destacando vulnerabilidades nos mecanismos de aprovação de tokens. A GoPlus Security insta os utilizadores a evitarem o phishing seguindo práticas de segurança essenciais e instalando a sua extensão de proteção.
GateNews6h atrás
