Nag-patch ang Zcash ng isang pangunahing kahinaan na sana'y nagbigay-daan sa mga masasamang aktor na ubusin ang pondo mula sa deprecated na Sprout shielded pool ng protocol.
Ayon sa isang ulat ng pagbubunyag mula sa security researcher na si Alex “Scalar” Sol, na inilathala noong Martes, sinasabing isang kritikal na depekto ang natuklasan sa mga zcashd node na nagresulta sa paglaktaw ng pag-verify ng patunay para sa mga transaksyon na kinasasangkutan ng legacy Sprout pool.
Ang Sprout pool ng Zcash ay ang orihinal na “shielded pool” na inilunsad kasama ng network noong 2016. Ito ang unang implementasyon ng zero-knowledge proofs (zk-SNARKs) sa isang production cryptocurrency, na nagpapahintulot sa mga user na magpadala at tumanggap ng ZEC nang pribado.
Bagama’t isinara ang pool para sa mga bagong deposit noong Nobyembre 2020, hawak pa rin nito ang humigit-kumulang 25,424 ZEC, na hindi pa naililipat sa mas bagong mga bersyon ng shielded pool.
Ayon sa pagbubunyag, ang kahinaan ay sumaklaw sa mga release mula Hulyo 2020 pataas ngunit naayos sa pamamagitan ng v6.12.0, na inilabas noong Martes. Sa ngayon, hindi pa napagsasamantalahan ang depekto, at nananatiling ligtas ang mga pondo ng user.
Idinagdag ng ulat na ang mga pangunahing mining pool, kabilang ang Luxor, F2Pool, ViaBTC, at AntPool, ay na-deploy na ang pag-aayos pagsapit ng Marso 26.
Idinagdag ng ulat na ang implementasyon ng Zebra full node ay hindi naapektuhan. Sa kaganapan ng isang pagtatangkang pagsasamantala, ito sana ay nagdulot ng chain fork, na nagsilbing karagdagang pananggalang.
Sa kabila ng kalubhaan ng isyu, nilinaw ng Zcash Open Development Team na ang mekanismong “turnstile” ng network, na nagpapatupad na ang anumang coin na lumalabas sa Sprout pool ay dapat na pumasok dito noon, ay sana'y napigilan ang mas malawak na inflation ng supply.
Para sa Zcash network, ito ang ikalawang pagkakataon na may natuklasang kritikal at sistematikong kahinaan sa loob ng mga shielded pool nito. Noong 2019, ibinunyag ng Zcash team ang isang "counterfeiting" bug, isang depekto sa pinagbabatayang cryptography na maaaring nagpahintulot sa isang attacker na lumikha ng walang katapusang dami ng ZEC nang hindi natutukoy.
