Zcashが重大な脆弱性を修正：2万5千ZEC以上、約650万ドルの価値に影響の恐れ

Odailyの報道によると、プライバシーコインのZcashは最近、重大なセキュリティ脆弱性を開示し修正しました。この脆弱性は悪意のあるマイナーによって悪用される可能性があり、非推奨となったSproutプライバシープールから25,000 ZEC以上（約650万ドル相当）を移動させることができました。セキュリティ研究者のAlex "Scalar" Sol氏が3月23日に開示したところによると、この脆弱性はzcashdノードがSproutプールに関連するトランザクションを処理する際に証明の検証をスキップすることに起因していました。公式発表によれば、この脆弱性は2020年7月から存在していましたが、実際に悪用されることはなく、ユーザーの資金は常に安全でした。

開発チームはv6.12.0バージョンをリリースして修正を完了し、主要なマイニングプールは数日以内にアップグレードを展開しました。さらに、影響を受けなかったZebraフルノード実装はチェーンフォークをトリガーする能力を備えており、脆弱性が悪用された場合に追加の保護を提供できます。開示によると、Sproutプールは2020年11月に新規入金を停止しましたが、約25,424 ZECが移行されずに残っています。仮に脆弱性が悪用されたとしても、Zcashの「ターンスタイル」メカニズムがインフレ的な追加発行を防ぎ、総供給量が突破されないことを保証します。

今回の脆弱性はAIの支援によって発見され、研究者は合計200 ZEC（約5万1千ドル相当）の報奨金を受け取ります。注目すべきは、これがZcashが初めて遭遇した重大な脆弱性ではないということです。2019年には、無制限の発行を引き起こす可能性のある重大な欠陥を修正したことがあります。（Decrypt）