Zcash, Sprout Havuzundaki Kritik Bir Güvenlik Açığını Kapatarak Kullanıcı Fonlarını Korudu

Zcash, eski Sprout havuzundan fonların çalınmasına yol açabilecek kritik bir güvenlik açığını giderdi. Bu açık, zcashd düğümlerinde, Sprout havuzuna ait işlemler için proof doğrulamasını atlayan bir hatadan kaynaklanıyordu. Bu güvenlik açığı, Temmuz 2020'den v6.12.0 sürümüne kadar mevcuttu. Güvenlik araştırmacısı Alex "Scalar" Sol'un raporuna göre, bu açık henüz kötüye kullanılmadı ve tüm kullanıcı fonları güvende.

Sprout havuzu, Zcash ağında 2016'da kullanıma sunulan ilk 'shielded pool'du ve sıfır bilgi ispatlarını (zk-SNARKs) kullanan ilk kripto para birimiydi. Bu havuz, kullanıcıların ZEC'lerini gizli bir şekilde göndermelerini ve almalarını sağlıyordu. Kasım 2020'de yeni depozitlere kapatılmasına rağmen, hala yaklaşık 25.424 ZEC barındırıyor ve bu fonlar henüz daha yeni shielded havuz versiyonlarına taşınmadı.

Güvenlik açığı, Temmuz 2020'den itibaren yayınlanan sürümlerde bulunuyordu, ancak Salı günü yayınlanan v6.12.0 ile düzeltildi. Luxor, F2Pool, ViaBTC ve AntPool gibi büyük madencilik havuzları, düzeltmeyi 26 Mart'a kadar uygulamaya koydu. Zebra tam düğüm uygulaması ise bu açıktan etkilenmedi. Olası bir istismar durumunda, zincir çatallanması meydana gelecekti ve bu da ek bir koruma sağladı. Zcash Open Development Team, ağın 'turnstile' mekanizmasının, Sprout havuzundan çıkan paraların daha önce havuza girmiş olması gerektiğini zorunlu kıldığını ve daha geniş çaplı bir arz enflasyonunu engellediğini belirtti.

Bu, Zcash ağı için shielded havuzlarında tespit edilen ikinci büyük güvenlik açığı. 2019'da ekip, bir saldırganın tespit edilmeden sonsuz miktarda ZEC oluşturmasına olanak sağlayabilecek bir 'sahtecilik' hatası keşfetmişti.