Uma Vulnerabilidade do Zcash que Colocou Milhões de Dólares em ZEC em Risco Foi Corrigida

Em resumo

• Um investigador de segurança descobriu uma vulnerabilidade crítica em nós do Zcash que ignorava a verificação de provas para o extinto grupo protegido (shielded) Sprout.
• Os principais pools de mineração aplicaram a correção no prazo de três dias, com os programadores do Zcash a lançarem a versão v6.12.0 na terça-feira.
• O mecanismo de “turnstile” do Zcash teria evitado uma inflação mais ampla da oferta mesmo que o pool tivesse sido comprometido.

Um investigador de segurança descobriu uma vulnerabilidade crítica nos nós do Zcash que poderia ter permitido que mineiros maliciosos retirassem mais de 25.000 ZEC do grupo protegido (shielded) Sprout descontinuado da rede — uma quantia avaliada, à data da publicação, em cerca de 6,5 milhões de dólares. Alex “Scalar” Sol divulgou a falha a 23 de março, segundo um relatório de divulgação publicado na terça-feira, revelando que os nós zcashd estavam a ignorar a verificação de provas para transações que envolvessem o pool legado Sprout. A falha não foi explorada e os fundos de todos os utilizadores permanecem seguros, segundo a divulgação. A vulnerabilidade abrangeu versões desde julho de 2020 até ao presente, com os programadores do Zcash a lançarem a v6.12.0 na terça-feira para conter a correção. Os principais pools de mineração avançaram rapidamente para corrigir os seus sistemas — o pool de mineração Luxor confirmou a implementação a 25 de março, enquanto a F2Pool, ViaBTC e AntPool implementaram a correção até 26 de março, de acordo com o mesmo relatório. 

A implementação do nó completo Zebra não foi afetada pela vulnerabilidade, referiu o relatório, e teria despoletado uma bifurcação (fork) na cadeia caso a exploração tivesse sido tentada, fornecendo uma camada adicional de proteção da rede. Sol, que descobriu a vulnerabilidade com apoio de IA, comunicou-a à Shielded Labs a 23 de março. A organização coordenou com a Zcash Open Development Lab (ZODL), cujo engenheiro Jack “str4d” Grigg escreveu a correção. Pela sua divulgação, Sol receberá uma recompensa total de 200 ZEC — avaliada em mais de 51.000 dólares — com a Shielded Labs, a ZODL, a Zcash Foundation e a Bootstrap a contribuírem cada uma com 50 ZEC. O pool Sprout foi encerrado a novos depósitos em novembro de 2020, tornando-se um componente descontinuado mas ainda ativo, detendo aproximadamente 25.424 ZEC que os utilizadores ainda não migraram para versões mais recentes de pools protegidos.

Embora a vulnerabilidade pudesse ter permitido retirar estes fundos, a Zcash Open Development Team (ZODL) afirmou que o mecanismo de “turnstile” do Zcash teria evitado uma inflação mais ampla da oferta. O turnstile exige que quaisquer moedas que saiam do pool Sprout tenham entrado nele de forma verificável, criando uma salvaguarda contra a criação de novos tokens para além da circulação total da rede, de cerca de 16,63 milhões de ZEC. Isto não é a primeira grande vulnerabilidade que a rede enfrenta. Em 2019, a rede corrigiu um bug descrito como um gerador cripto de “contrafação infinita”, embora tenha sido eliminado antes de se tornar uma questão importante para a rede de moeda de privacidade. O Zcash é o maior beneficiário nas últimas 24 horas entre as 100 principais moedas por capitalização de mercado, segundo dados da CoinGecko, subindo mais de 14% para um preço recente acima dos 255 dólares. O preço da moeda de privacidade disparou no ano passado, no outono, saindo de cerca de 50 dólares para um pico de vários anos perto de 700 dólares, mas caiu nos últimos meses juntamente com o Bitcoin e outras criptomoedas.