zcashd 節點中的一個嚴重漏洞可能允許從 Sprout 池中提取25,000 ZEC,該漏洞已透過緊急修補程式 v6.12.0 修復。
Zcash網路節點軟體中一個嚴重的安全 漏洞已被發現,並在被挖礦之前成功修復。
根據 3 月 25 日發布的報告,安全研究員 Alex “Scalar” Sol 於 3 月 23 日發現了一個漏洞,該漏洞顯示 zcashd 節點在涉及 Sprout 池的交易中跳過了權益證明驗證。 Sprout 池是該網路的較舊組件,已於 2020 年 11 月停止接受新的存款,但仍處於活躍狀態,約有 25,424 個 ZEC 尚未遷移到更新的版本,在發佈時相當於約 650 萬鎂。
快速響應鏈保護用戶資產。
Sol 向 Shielded Labs報告後,該組織立即與Zcash Open Development Lab (ZODL) 進行了緊急協調,工程師 Jack “str4d” Grigg 直接參與了補丁的建造。
v6.12.0 版本於週二發布,各大挖礦池迅速做出反應:Luxor 於 3 月 25 日確認部署,而 F2Pool、ViaBTC 和 AntPool 則於 3 月 26 日完成更新。該漏洞影響自 2020 年 7 月至今發布的所有版本,這意味著它已存在近五年之久而未被發現。
值得注意的是,即使在挖礦場景下,內部安全措施也能有效限制損失。 Zcash 的「旋轉Zcash」機制要求所有離開 Sprout 礦池的代幣都必須有先前進入礦池的證明,從而防止供應膨脹超過網路約 1,663 萬 ZEC 的總供應量。
同時,部署不受漏洞影響的 Zebra 節點會在挖礦被利用時觸發鏈分拆,從而提供額外的獨立防禦層。這種分層保護設計深受安全社群的評估,尤其是當漏洞存在於已停止官方使用但尚未從系統中移除的組件中時。
值得一提的是,Sol借助人工智慧發現了這個漏洞,人工智慧這種安全研究方法在資產領域正變得越來越流行。為了表彰他的貢獻,Sol獲得了總計200個ZEC(相當於超過51,000鎂)的獎勵,這些獎勵由四個組織平均分配:Shielded Labs、ZODL、 Zcash基金會和Bootstrap。
這並非Zcash次遭遇嚴重漏洞。 2019年,該網路曾出現一個漏洞,允許創建無限量的虛假加密資產;不過,該漏洞也及時得到了修復。市場對此消息反應積極,ZEC在24小時內上漲超過14%,一度突破255鎂。
