Quantstamp a publié une autopsie technique de la faille de Zcash qui a laissé un bug de contrefaçon dormir dans le pool de confidentialité Orchard pendant environ quatre ans avant d’être corrigé ce mois-ci. Le cabinet de sécurité a indiqué que le problème aurait pu permettre à un attaquant de créer des ZEC protégés qu’il serait difficile, voire impossible, de détecter via une surveillance normale des transactions.
Le bug est important car Orchard est le principal pool protégé de Zcash, où les utilisateurs déplacent des pièces vers un solde privé qui masque les détails des transactions à la vue du public. Si des pièces peuvent y être créées sans être remarquées, la crédibilité du système de confidentialité en prend un coup, même si le problème est désormais corrigé. Pour un actif de confidentialité comme le ZEC, ce n’est pas une simple note technique anodine. Cela touche à la confiance dans le registre lui-même.
L’analyse de Quantstamp décrit comment la faille a échappé à plusieurs audits, rappelant que même un code crypto très révisé peut cacher des cas extrêmes de longue date. L’entreprise n’a pas dit que le bug avait été exploité à grande échelle, mais l’existence d’une voie de création indétectable suffit à soulever des questions sur l’activité protégée passée et sur les limites de la détection après coup dans les systèmes privés.
Les développeurs de Zcash ont corrigé le problème plus tôt ce mois-ci, selon la source, mais la divulgation tombe tout de même mal pour les détenteurs. Les nouvelles relatives à la sécurité des pièces de confidentialité peuvent rapidement peser sur le sentiment, surtout lorsque la vulnérabilité touche l’offre plutôt qu’un simple bug de portefeuille ou d’interface. Les traders se soucient moins du chemin de code lui-même que de la possibilité d’une inflation cachée, même si ce risque est désormais écarté.
Les prochains éléments à surveiller sont le suivi officiel du projet, tout bilan supplémentaire indiquant si les soldes protégés ont été affectés, et le fait que les plateformes d’échange ou les dépositaires modifient leur gestion des dépôts et retraits en ZEC. Si la communauté conclut que le problème a été contenu avant tout abus généralisé, le marché pourrait passer à autre chose. Si de nouvelles preuves montrent que la faille a été utilisée ou que d’autres recoins du pool protégé nécessitent un examen, le ZEC pourrait rester sous pression.
Zcash: bug de contrefaçon dans le pool Orchard pendant 4 ans, corrigé
Une faille cachée dans le système de soldes privés de Zcash a permis la création de pièces contrefaites sans être détectée, érodant la confiance dans la confidentialité des transactions. Corrigée ce mois-ci, elle suscite des inquiétudes quant à d'éventuelles fausses pièces passées inaperçues et à la sécurité des outils de confidentialité.