Zcash устраняет критическую ошибку в узле, которая могла поставить миллионы ZEC под угрозу

• Zcash устранил критическую уязвимость в своем узловом программном обеспечении, которая могла раскрыть миллионы долларов в ZEC.
• Изъян затронул проверку доказательств для транзакций, связанных с устаревшим shielded-пулом Sprout, хотя об эксплуатации не сообщалось.

Zcash исправил серьезную программную уязвимость, которая при неправильных обстоятельствах могла позволить злоумышленникам вывести со значимую сумму ZEC из более старой части сети. Проблема находилась в zcashd — узловом ПО — и была связана с транзакциями с участием устаревшего shielded-пула Sprout. Согласно опубликованному сообщению, узлы пропускали проверку доказательств в этих случаях. Это тот тип ошибки, который быстро привлекает внимание в системах, ориентированных на приватность, потому что проверки доказательств — не второстепенная деталь. Они входят в основной механизм, который в первую очередь не позволяет принимать некорректные переводы. Ошибка в старом пуле, но все еще реальный риск Об уязвимости сообщил Алекс «Scalar» Сол 23 марта, а публичный отчет был опубликован во вторник. Затронутая область не является основным текущим приватным маршрутом, о котором сегодня думает большинство пользователей, но это более старый пул Sprout, который уже был деактуализирован. Тем не менее деактуализированное не означает безопасное. Если средства по-прежнему находятся там, поверхность атаки остается актуальной. Особенно чувствительным изъян делало то, что существовала возможность, что недействительные транзакции пройдут мимо критически важного этапа валидации. На практике это могло открыть путь к выводу средств из пула без того, чтобы сеть обнаружила проблему там, где ей следовало бы. Zcash говорит, что средства остаются в безопасности Пока важное заключается в следующем. Ошибка была исправлена до каких-либо известных случаев эксплуатации, и в сообщении о раскрытии сказано, что все пользовательские средства остаются в безопасности. Это должно успокоить немедленную панику, хотя и не стирает более общий урок. Наследуемые компоненты в криптосистемах имеют привычку оставаться экономически значимыми еще долго после того, как экосистема мысленно переключилась на другое. Старые пулы, выведенная из использования логика, устаревшие ветки кода — все это по-прежнему важно, когда к делу привязаны реальные активы. Для Zcash этот эпизод меньше о видимом ущербе и больше о ценности выявления серьезного сбоя в валидации до того, как он превратится в реальный инцидент. В кибербезопасности блокчейна иногда самая важная история — это та, в которой эксплойту просто не дали шанса.