Исследователь по вопросам безопасности обнаружил критическую уязвимость в нодах Zcash, которая могла бы позволить злонамеренным майнерам вывести из сети более 25 000 ZEC из устаревшего экранированного пула Sprout — сумма, оцениваемая примерно в 6,5 миллиона долларов на момент публикации. Алекс «Scalar» Сол раскрыл проблему 23 марта, как указано в отчете о раскрытии, опубликованном во вторник: он сообщил, что ноды zcashd пропускали проверку доказательств для транзакций, связанных с устаревшим пулом Sprout. По данным раскрытия, ошибка не была использована, и средства всех пользователей остаются в безопасности. Уязвимость охватывала релизы с июля 2020 года по настоящее время; чтобы сдержать исправление, разработчики Zcash во вторник выпустили v6.12.0. Крупные майнинговые пулы быстро перешли на патч: майнинговый пул Luxor подтвердил развертывание 25 марта, а F2Pool, ViaBTC и AntPool — все внедрили исправление к 26 марта, согласно тому же отчету.
Полная нода Zebra, говорится в отчете, не была затронута этой уязвимостью, и при попытке эксплуатации она бы вызвала разветвление цепочки (chain fork), обеспечив дополнительный уровень защиты сети. Сол, который обнаружил уязвимость с помощью ИИ, сообщил о ней в Shielded Labs 23 марта. Организация координировалась с Zcash Open Development Lab (ZODL), инженер которой Джек «str4d» Григг написал патч. За свое раскрытие Сол получит общий приз в размере 200 ZEC — стоимостью более 51 000 долларов — при участии Shielded Labs, ZODL, Zcash Foundation и Bootstrap, при этом каждый внесет по 50 ZEC. Пул Sprout был закрыт для новых депозитов в ноябре 2020 года, поэтому он является устаревшим, но все еще активным компонентом, содержащим приблизительно 25 424 ZEC, которые пользователи пока не перенесли в более новые версии экранированного пула.
Хотя эта уязвимость могла позволить вывести эти средства, команда по открытому развитию Zcash (ZODL) заявила, что механизм Zcash «турникет» предотвратил бы более широкое раздувание предложения. Турникет требует, чтобы любые монеты, выходящие из пула Sprout, проверяемо в него попадали, создавая защиту от создания новых токенов сверх общего обращения сети — около 16,63 миллиона ZEC. Это не первая крупная уязвимость, с которой столкнулась сеть. Еще в 2019 году сеть исправила ошибку, описанную как «бесконечный поддельный» генератор криптовалют, хотя ее успели исправить до того, как она стала серьезной проблемой для сети конфиденциальной монеты. Zcash — крупнейший ростер за последние 24 часа среди топ-100 монет по рыночной капитализации, согласно данным CoinGecko: курс вырос более чем на 14% до недавней цены выше $255. Цена конфиденциальной монеты резко взлетела прошлой осенью с примерно $50 до многолетнего пика около $700, но в последние месяцы падала вместе с Bitcoin и другими криптовалютами.