- Zcash виправив критичну вразливість у програмному забезпеченні свого вузла, яка могла б зазнати розкриття мільйонів доларів у ZEC.
- Недолік вплинув на перевірку доказів для транзакцій, пов’язаних із застарілим захищеним пулом Sprout, хоча експлуатацію не було повідомлено.
Zcash усунув серйозну ваду в програмі, яка за неправильних обставин могла дозволити зловмисникам вивести з мережі значну суму ZEC із старішої частини.
Проблема була всередині zcashd — програмного забезпечення вузла — і стосувалася транзакцій із використанням успадкованого захищеного пулу Sprout.
Згідно з повідомленням про розкриття, вузли пропускали перевірку доказів у цих випадках. Це саме той тип помилки, який швидко привертає увагу в системах, орієнтованих на приватність, адже перевірки доказів — не другорядна деталь. Це частина базового механізму, який не дозволяє приймати некоректні перекази.
Помилка в старому пулі, але все ще реальний ризик
Вразливість оприлюднив Алекс «Scalar» Сол 23 березня, а публічний звіт було випущено у вівторок. Уражена ділянка не є основним актуальним шляхом приватності, про який більшість користувачів думає сьогодні, але це старіший пул Sprout, який уже було деактивовано. Водночас «деактивовано» не означає «безпечно». Якщо кошти все ще там зберігаються, поверхня атаки залишається актуальною.
Наскільки ця вада була особливо чутливою, визначався тим, що недійсні транзакції могли пройти повз критичний етап перевірки. На практиці це могло відкрити двері для виведення коштів із пулу, не давши мережі виявити проблему там, де вона мала б.
Zcash каже, що кошти в безпеці
Поки що важливе ось що. Ваду виправили до будь-якої відомої експлуатації, і в повідомленні про розкриття сказано, що всі кошти користувачів залишаються в безпеці.
Це має вгамувати негайну паніку, хоча й не стирає ширший урок. У криптосистемах застарілі компоненти мають звичку залишатися економічно релевантними ще довго після того, як екосистема встигла психологічно «рухнутися далі» від них. Старі пули, знята з ужитку логіка, деактивовані гілки коду — усе це й надалі має значення, коли реальні активи досі прив’язані.
Для Zcash цей епізод менше про видиму шкоду і більше про цінність того, щоб виявити серйозний збій під час валідації ще до того, як він перетвориться на проблему. У безпеці блокчейну інколи найважливіша історія — це та, в якій експлойт так і не отримав шансу.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Користувацький інтерфейс Cowswap під атакою, користувачам закликають відкликати дозволи
Система безпеки Blockaid виявила атаку на фронтенд на Cowswap, позначивши вебсайт COW.FI як зловмисний. Користувачів закликають відкликати дозволи гаманця та утриматися від взаємодії з DApp.
GateNews2год тому
Polymarket перевіряє стартапи в екосистемі та бореться з інсайдерською торгівлею й маніпулюванням ринком
Polymarket оголосила про аудит частини інтегрованих початкових проєктів, які, як стверджують, використовували дані облікових записів із ймовірною інсайдерською інформацією, щоб підштовхувати користувачів до торгівлі. Цей крок спрямований на посилення комплаєнсу та відповідь на занепокоєння щодо ризиків інсайдерської торгівлі з боку зовнішніх спостерігачів.
GateNews5год тому
У 1 кварталі 2026 року проєкти Web3 зазнали збитків від хакерів і шахрайства понад 460 млн доларів США, а фішингові атаки домінували
Звіт, опублікований Hacken, показує, що в першому кварталі 2026 року Web3-проєкти через хакерські атаки та шахрайство зазнали збитків у розмірі 464,5 млн доларів США, а фішинг і атаки через соціальну інженерію спричинили втрати на 306 млн доларів США. Крім того, шахрайства з апаратними гаманцями становлять основну частину збитків. Також значні втрати спричиняють вразливості смартконтрактів і збої контролю доступу. У сфері регулювання європейська правова рамка підвищила вимоги до безпечного моніторингу.
GateNews9год тому
RAVE шалений ривок спричиняє сплеск рейдерських монетних гарячок, FF та INX викривають схему «насос-розвантаження»
Останнім часом фальшиві монети, представлені RAVE, викликали бурхливий інвестиційний ажіотаж, але деякі колишні зоряні проєкти, такі як FF і INX, використали цю хвилю для операцій із «розкручуванням і продажем з рук» — швидко піднімаючи ціну монет, щоб заманити роздрібних інвесторів до купівлі, а потім різко їх продаючи, що спричинило стрімке падіння цін. Така поведінка не лише викриває фінансові труднощі з боку команди проєкту, а й підриває довіру інвесторів. Інвесторам потрібно бути пильними щодо сигналів на кшталт короткострокових аномальних підйомів, щоб уникнути ризику бути контрольованими ринком.
MarketWhisper12год тому
ФБР та Індонезія спільно викрили та ліквідували фішингову мережу W3LL, сума збитків у справі перевищує 20 млн доларів США
Співпраця між ФБР США та поліцією Індонезії успішно зірвала фішингову мережу W3LL: вилучено відповідне обладнання та затримано підозрюваних. Набір фішингових інструментів W3LL пропонував підробні сторінки входу за низькою ціною, використовуючи атаки через посередника, щоб легко обходити багатофакторну автентифікацію, формуючи організовану екосистему кіберзлочинності. Ця операція стала ознакою співпраці США та Індонезії в питаннях правозастосування у сфері кіберзлочинів, однак безпекові загрози для користувачів криптовалют усе ще залишаються серйозними.
MarketWhisper16год тому
Загінки: аварійне попередження — адресне отруєння та підробка мультипідписних акаунтів; механізм білого списку буде запущено
Мультипідписний протокол екосистеми Solana Squads опублікував попередження, вказавши, що атакувальники здійснювали отруєння адреси (address poisoning) проти користувачів, підробляючи облікові записи, щоб спонукати користувачів до неналежних переказів. Squads підтвердили, що втрат коштів не було, і наголосили, що це є атакою на основі соціальної інженерії, а не вразливістю протоколу. Для реагування Squads уже впровадили захисні заходи, зокрема систему попереджень, підказки для непов’язаних облікових записів і механізм білого списку. Ця подія відображає зростання загроз соціальної інженерії в екосистемі Solana та спричинила подальші безпекові обговорення.
MarketWhisper16год тому
