Zcash dicht ernstig beveiligingslek in verouderde privacypool met 25.000 ZEC

In dit artikel:

Een ernstige kwetsbaarheid in Zcash bleek te zitten in de oude Sprout-pool, waar nog ongeveer 25.424 ZEC liggen. Onderzoeker Alex “Scalar” Sol ontdekte en maakte het probleem dinsdag openbaar: sommige verouderde zcashd-nodes sloegen een essentiële controle over, waardoor cryptografische bewijzen die transacties moeten valideren niet altijd werden geverifieerd. Dat maakte het in theorie mogelijk tegoeden uit de Sprout-pool te onttrekken.

De fout dateert uit juli 2020 en zat dus bijna zes jaar onopgemerkt in bepaalde softwareversies. Het probleem is inmiddels verholpen met de release van zcashd 6.12.0. Volgens het Zcash-team zijn er geen aanwijzingen dat de kwetsbaarheid daadwerkelijk is misbruikt; gebruikerstegoeden zouden veilig zijn gebleven.

De Sprout-pool, geïntroduceerd in 2016 voor privacy-transacties met zero-knowledge proofs, stond sinds november 2020 niet meer open voor nieuwe stortingen; de resterende ZEC moeten nog naar nieuwere systemen worden gemigreerd. Grote miningpools (onder meer Luxor, F2Pool, ViaBTC en AntPool) voerden de update snel door op 26 maart, wat wijst op een gecoördineerde respons. Alternatieve full node-software Zebra bleek niet kwetsbaar; bij misbruik had dat mogelijk tot een ketensplitsing kunnen leiden, wat als extra barrière had gewerkt.

Belangrijke les: updaten van node-software en migratie van verouderde privacypools blijven cruciaal voor de veiligheid van crypto-netwerken.