Zcash corrige un bug critique sur un nœud qui aurait pu mettre des millions de ZEC en danger

• Zcash a corrigé une vulnérabilité critique dans son logiciel de nœud qui aurait pu exposer des millions de dollars de ZEC.
• Le défaut touchait la vérification des preuves pour les transactions liées au pool protégé Sprout, désormais obsolète, bien qu’aucun exploit n’ait été signalé.

Zcash a corrigé un grave défaut logiciel qui, dans de mauvaises circonstances, aurait pu permettre aux attaquants de soutirer une quantité significative de ZEC à partir d’une ancienne partie du réseau. Le problème se trouvait dans zcashd, le logiciel du nœud, et portait sur les transactions impliquant le pool protégé Sprout de l’héritage. Selon la divulgation, les nœuds ignoraient la vérification des preuves dans ces cas. C’est le type de bogue qui attire rapidement l’attention dans les systèmes axés sur la confidentialité, car les contrôles de preuve ne sont pas un détail secondaire. Ils font partie de la mécanique centrale qui empêche, dès le départ, que des transferts invalides soient acceptés. Un bogue dans un ancien pool, mais qui reste un risque réel La vulnérabilité a été divulguée par Alex « Scalar » Sol le 23 mars, avec le rapport public publié mardi. La zone concernée n’était pas le principal chemin actuel de confidentialité auquel la plupart des utilisateurs pensent aujourd’hui, mais l’ancien pool Sprout, déjà déprécié. Même ainsi, « déprécié » ne veut pas dire inoffensif. Si des fonds y restent, la surface d’attaque demeure pertinente. Ce qui rendait le défaut particulièrement sensible, c’était la possibilité que des transactions invalides puissent passer une étape critique de validation. Concrètement, cela aurait pu ouvrir la porte à un vidage du pool sans que le réseau ne détecte le problème là où il aurait dû le faire. Zcash affirme que les fonds restent en sécurité Pour l’instant, la partie importante, c’est cela. Le bogue a été corrigé avant toute exploitation connue, et la divulgation indique que tous les fonds des utilisateurs restent en sécurité. Cela devrait calmer la panique immédiate, même si cela n’efface pas la leçon plus large. Dans les systèmes crypto, les composants de l’héritage ont la particularité de rester économiquement pertinents longtemps après que l’écosystème en a tourné mentalement la page. Les anciens pools, la logique mise au rebut, les chemins de code dépréciés : tout cela continue d’avoir de l’importance quand des actifs réels restent attachés. Pour Zcash, l’épisode tient moins au dommage visible qu’à la valeur de la détection d’une défaillance sérieuse de validation avant qu’elle ne se produise. En matière de sécurité blockchain, l’histoire la plus importante est parfois celle de l’exploit qui n’a jamais eu la chance de se produire.