セキュリティ研究者は、Zcashノードの重大な脆弱性を発見し、悪意のあるマイナーがネットワークの廃止されたSproutシールドプールから25,000 ZEC超を流出させられていた可能性があるとした――執筆時点で約$6.5 million相当の金額だ。 開示報告書は火曜日にリリースされ、Alex「Scalar」Solが3月23日にこの欠陥を開示したことが明らかにされた。これにより、legacy Sproutプールを含む取引に関してzcashdノードが証明の検証をスキップしていたことが判明した。開示によれば、このバグは悪用されず、すべてのユーザーの資金は安全なままだという。 この脆弱性は2020年7月から現在までのリリース範囲にまたがっており、修正を封じ込めるためZcash開発者は火曜日にv6.12.0をリリースした。同じ報告書によると、主要なマイニングプールは迅速にパッチを当てた――Luxorマイニングプールは3月25日に展開を確認し、F2Pool、ViaBTC、AntPoolはいずれも3月26日までに修正を導入した。
報告書によれば、Zebraフルノード実装にはこの脆弱性の影響はなく、悪用が試みられればチェーンフォークを引き起こすことで、追加のネットワーク保護層を提供していたはずだ。 AI支援を使ってこの脆弱性を発見したSolは、3月23日にShielded Labsへ報告した。この組織はZcash Open Development Lab(ZODL)と連携しており、ZODLのエンジニアJack「str4d」Griggがパッチを作成した。 Solの開示に対しては、Shielded Labs、ZODL、Zcash Foundation、Bootstrapのそれぞれが50 ZECずつ拠出し、合計200 ZECのバウンティ($51,000を超える価値)が授与される。 Sproutプールは2020年11月に新規入金を締め切られたため、廃止されたものの、ユーザーがまだ新しいシールドプールのバージョンへ移行していない状態で約25,424 ZECを保持する、依然として稼働中のコンポーネントとなっている。
この脆弱性がこれらの資金を流出させることを可能にしていた可能性はあるものの、Zcash Open Development Team(ZODL)は、Zcashの「ターンスタイル」メカニズムがより広範な供給インフレを防いでいたと述べた。ターンスタイルでは、Sproutプールから出ていく任意のコインが、検証可能な形でそこへ入っていたことが必要であり、ネットワークの総流通量である約16.63 million ZECを超えて新たなトークンが作られるのを防ぐセーフガードになる。 これはネットワークが直面した最初の大規模な脆弱性ではない。2019年には、ネットワークは「無限の偽造」暗号ジェネレーターと説明されたバグを修正していたが、プライバシーコインのネットワークにとって主要な問題になる前に修正済みになっていた。 CoinGeckoのデータによると、Zcashは時価総額上位100銘柄の中で直近24時間の最大の上昇銘柄であり、約14%以上上昇して直近の価格は$255を超えた。プライバシーコインの価格は昨年秋に約$50から始まり、複数年の高値である700近辺まで急騰したが、ここ数か月でBitcoinや他の暗号資産とともに下落している。
