Tóm tắt ngắn gọn
- Một nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng trong các node Zcash, cho phép bỏ qua việc xác thực bằng chứng đối với pool shielded Sprout đã bị ngừng sử dụng.
- Các nhóm khai thác lớn đã triển khai bản vá trong vòng ba ngày, trong khi các nhà phát triển Zcash phát hành v6.12.0 vào thứ Ba.
- Cơ chế “turnstile” của Zcash đã có thể ngăn chặn tình trạng lạm phát cung cấp rộng hơn ngay cả khi pool đã bị xâm phạm.
Một nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng trong các node Zcash có thể đã cho phép các thợ đào độc hại rút khỏi mạng hơn 25.000 ZEC từ pool shielded Sprout đã bị ngừng sử dụng của mạng—một khoản trị giá khoảng 6,5 triệu USD tính đến thời điểm bài viết.
Alex “Scalar” Sol đã công bố lỗ hổng vào ngày 23 tháng 3, theo một báo cáo công bố thông tin được phát hành vào thứ Ba, cho thấy các node zcashd đang bỏ qua việc xác thực bằng chứng đối với các giao dịch liên quan đến pool Sprout kế thừa. Theo báo cáo, lỗ hổng này không bị khai thác và toàn bộ số tiền của người dùng vẫn an toàn.
Lỗ hổng này kéo dài qua các bản phát hành từ tháng 7 năm 2020 đến hiện tại, với việc các nhà phát triển Zcash phát hành v6.12.0 vào thứ Ba để khắc phục. Các nhóm khai thác lớn đã nhanh chóng chuyển sang vá hệ thống của họ—pool khai thác Luxor xác nhận đã triển khai vào ngày 25 tháng 3, trong khi F2Pool, ViaBTC và AntPool đều triển khai bản vá trước ngày 26 tháng 3, theo cùng báo cáo.
Theo báo cáo, việc triển khai full node Zebra không bị ảnh hưởng bởi lỗ hổng này, và sẽ kích hoạt một nhánh fork của chuỗi nếu có nỗ lực khai thác, cung cấp thêm một lớp bảo vệ cho mạng.
Sol, người đã phát hiện lỗ hổng nhờ hỗ trợ của AI, đã báo cáo cho Shielded Labs vào ngày 23 tháng 3. Tổ chức này đã phối hợp với Zcash Open Development Lab (ZODL), nơi kỹ sư Jack “str4d” Grigg đã viết bản vá.
Với phần công bố của mình, Sol sẽ nhận tổng bounty 200 ZEC—được định giá trên 51.000 USD—trong đó Shielded Labs, ZODL, Zcash Foundation và Bootstrap mỗi bên đóng góp 50 ZEC.
Pool Sprout đã bị đóng để nhận tiền gửi mới vào tháng 11 năm 2020, khiến nó trở thành một thành phần đã bị ngừng sử dụng nhưng vẫn hoạt động, nắm giữ khoảng 25.424 ZEC mà người dùng vẫn chưa di chuyển sang các phiên bản pool shielded mới hơn.
Mặc dù lỗ hổng này có thể đã cho phép rút cạn các quỹ đó, Zcash Open Development Team (ZODL) cho biết cơ chế “turnstile” của Zcash sẽ đã ngăn chặn tình trạng lạm phát cung cấp trên diện rộng. Turnstile yêu cầu rằng mọi đồng xu rời khỏi pool Sprout phải đã được đưa vào pool này một cách có thể xác minh, tạo ra cơ chế bảo vệ chống lại việc tạo ra các token mới vượt quá tổng cung lưu hành của mạng, hiện vào khoảng 16,63 triệu ZEC.
Đây không phải là lần đầu mạng phải đối mặt với một lỗ hổng lớn. Quay lại năm 2019, mạng đã vá một lỗi được mô tả như một bộ tạo crypto “counterfeit vô hạn”, dù nó đã được vá trước khi trở thành vấn đề lớn đối với mạng coin bảo mật.
Zcash là đồng tăng giá mạnh nhất trong 24 giờ qua trong số 100 đồng tiền hàng đầu theo vốn hóa thị trường, theo dữ liệu của CoinGecko, tăng hơn 14% lên mức giá cao hơn 255 USD gần đây. Giá của đồng coin bảo mật đã bùng nổ mạnh vào mùa thu năm ngoái, tăng từ khoảng 50 USD lên đỉnh cao nhất trong nhiều năm gần 700 USD, nhưng đã giảm trở lại cùng với Bitcoin và các loại tiền mã hóa khác trong vài tháng gần đây.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem
Tuyên bố miễn trừ trách nhiệm.
