Gate News のニュース、4月1日、プライバシーコインのZcashが重要なセキュリティ脆弱性を開示し、修正した。セキュリティ研究者のAlex “Scalar” Solは3月23日に開示した。 この脆弱性は、Sproutプライバシープールを含む取引を処理する際に、zcashdノードが証明の検証をスキップしていたことに起因し、悪意のあるマイナーに悪用され得るものだった。すでに廃止されたSproutプールからは25,000 ZEC超(約650万ドル)の資金が移された可能性がある。
公式によると、この脆弱性は2020年7月以降ずっと存在していたが、実際には悪用されていなかったため、ユーザー資金は常に安全だった。開発チームは修正を完了したv6.12.0をリリースしており、主要なマイニングプールは数日以内にアップグレードとデプロイを完了した。さらに、影響を受けていないZebraフルノードの実装には、チェーンのフォークをトリガーする能力があり、脆弱性が悪用された場合に追加の保護を提供できる。
開示によれば、Sproutプールは2020年11月に新規の入金を停止していたものの、依然として約25,424 ZECが未移行のまま残っている。仮に脆弱性が悪用されたとしても、Zcashのturnstileメカニズムによってインフレによる追加発行が防止され、総供給量が上限を突破することはない。今回の脆弱性はAIの支援により発見され、研究者は合計200 ZEC(約5.1万ドル)の報奨金を受け取る。なお、Zcashは2019年にも、無限の追加発行につながり得る深刻な欠陥を修正したことがある。
