zcashd 节点中的一个严重漏洞可能允许从 Sprout 池中提取25,000 ZEC,该漏洞已透过紧急修补程式 v6.12.0 修复。
Zcash网路节点软体中一个严重的安全 漏洞已被发现,并在被挖矿之前成功修复。
根据 3 月 25 日发布的报告,安全研究员 Alex “Scalar” Sol 于 3 月 23 日发现了一个漏洞,该漏洞显示 zcashd 节点在涉及 Sprout 池的交易中跳过了权益证明验证。 Sprout 池是该网路的较旧组件,已于 2020 年 11 月停止接受新的存款,但仍处于活跃状态,约有 25,424 个 ZEC 尚未迁移到更新的版本,在发布时相当于约 650 万镁。
快速响应链保护用户资产。
Sol 向 Shielded Labs报告后,该组织立即与Zcash Open Development Lab (ZODL) 进行了紧急协调,工程师 Jack “str4d” Grigg 直接参与了补丁的建造。
v6.12.0 版本于周二发布,各大挖矿池迅速做出反应:Luxor 于 3 月 25 日确认部署,而 F2Pool、ViaBTC 和 AntPool 则于 3 月 26 日完成更新。该漏洞影响自 2020 年 7 月至今发布的所有版本,这意味著它已存在近五年之久而未被发现。
值得注意的是,即使在挖矿场景下,内部安全措施也能有效限制损失。 Zcash 的「旋转Zcash」机制要求所有离开 Sprout 矿池的代币都必须有先前进入矿池的证明,从而防止供应膨胀超过网路约 1,663 万 ZEC 的总供应量。
同时,部署不受漏洞影响的 Zebra 节点会在挖矿被利用时触发链分拆,从而提供额外的独立防御层。这种分层保护设计深受安全社群的评估,尤其是当漏洞存在于已停止官方使用但尚未从系统中移除的组件中时。
值得一提的是,Sol借助人工智慧发现了这个漏洞,人工智慧这种安全研究方法在资产领域正变得越来越流行。为了表彰他的贡献,Sol获得了总计200个ZEC(相当于超过51,000镁)的奖励,这些奖励由四个组织平均分配:Shielded Labs、ZODL、 Zcash基金会和Bootstrap。
这并非Zcash次遭遇严重漏洞。 2019年,该网路曾出现一个漏洞,允许创建无限量的虚假加密资产;不过,该漏洞也及时得到了修复。市场对此消息反应积极,ZEC在24小时内上涨超过14%,一度突破255镁。
