Isang security researcher ang nakatuklas ng kritikal na kahinaan sa mga node ng Zcash na maaaring nagpahintulot sa mga malisyosong minero na maubos ang higit sa 25,000 ZEC mula sa deprecated na Sprout shielded pool ng network—isang halaga na humigit-kumulang $6.5 milyon sa kasalukuyan.
Ibinunyag ni Alex "Scalar" Sol ang depekto noong Marso 23, ayon sa isang ulat ng pagbubunyag na inilabas noong Martes, na nagpapakita na ang mga zcashd node ay nilalaktawan ang proof verification para sa mga transaksyon na kinasasangkutan ng lumang Sprout pool. Hindi na-exploit ang bug at nananatiling ligtas ang lahat ng pondo ng mga user, ayon sa pagbubunyag.
Saklaw ng kahinaan ang mga release mula Hulyo 2020 hanggang sa kasalukuyan, kung saan inilabas ng mga developer ng Zcash ang v6.12.0 noong Martes upang maglaman ng ayos. Mabilis na kumilos ang mga pangunahing mining pool upang i-patch ang kanilang mga system—kinumpirma ng Luxor mining pool ang pag-deploy noong Marso 25, habang ang F2Pool, ViaBTC, at AntPool ay sabay-sabay na nag-deploy ng ayos bago sumapit ang Marso 26, ayon sa parehong ulat.
Ang implementasyon ng Zebra full node ay hindi apektado ng kahinaan, ayon sa ulat, at sana ay nag-trigger ng isang chain fork kung sinubukan ang pagsasamantala (exploitation), na nagbibigay ng karagdagang layer ng proteksyon sa network.
Iniulat ni Sol, na nakatuklas ng kahinaan gamit ang tulong ng AI, ito sa Shielded Labs noong Marso 23. Nakipag-ugnayan ang organisasyon sa Zcash Open Development Lab (ZODL), kung saan ang engineer na si Jack "str4d" Grigg ang sumulat ng patch.
Para sa kanyang pagbubunyag, makakatanggap si Sol ng kabuuang 200 ZEC na bounty—na nagkakahalaga ng mahigit $51,000—kung saan ang Shielded Labs, ZODL, ang Zcash Foundation, at Bootstrap ay nag-ambag ng tig-50 ZEC.
Ang Sprout pool ay isinara sa mga bagong deposito noong Nobyembre 2020, na ginagawa itong isang deprecated ngunit aktibo pa ring bahagi na naglalaman ng humigit-kumulang 25,424 ZEC na hindi pa naililipat ng mga user sa mas bagong shielded pool na bersyon.
Bagama't maaaring nagpahintulot ang kahinaan sa pag-ubos ng mga pondong ito, sinabi ng Zcash Open Development Team (ZODL) na ang mekanismo ng 'turnstile' ng Zcash ay pipigil sana sa mas malawak na inflation ng supply. Ang turnstile ay nangangailangan na ang anumang coin na umalis sa Sprout pool ay dapat na mapatunayang nakapasok dito, na lumilikha ng pananggalang laban sa paglikha ng mga bagong token na lampas sa kabuuang sirkulasyon ng network na humigit-kumulang 16.63 milyong ZEC.
Hindi ito ang unang malaking kahinaan na kinaharap ng network. Noong 2019, na-patch ng network ang isang bug na inilarawan bilang isang “infinite counterfeit” crypto generator, bagama't ito ay naayos bago maging malaking isyu para sa privacy coin network.
Ang Zcash ang pinakamalaking nakakuha sa loob ng nakaraang 24 na oras sa mga nangungunang 100 coin ayon sa market cap, ayon sa data ng CoinGecko, na tumaas ng higit sa 14% sa kasalukuyang presyo na higit sa $255. Ang presyo ng privacy coin ay umakyat nang malaki noong nakaraang taglagas mula sa presyo na humigit-kumulang $50 hanggang sa pinakamataas na punto sa loob ng maraming taon na malapit sa $700, ngunit bumaba kasama ng Bitcoin at iba pang cryptocurrencies sa mga nakaraang buwan.
