Quantstamp ha pubblicato un'analisi tecnica post-mortem sulla falla di Zcash che ha permesso a un bug di contraffazione di rimanere all'interno del pool di privacy Orchard per circa quattro anni prima di essere corretto questo mese. La società di sicurezza ha affermato che il problema avrebbe potuto consentire a un utente malintenzionato di coniare ZEC schermati che sarebbero stati difficili, se non impossibili, da rilevare attraverso il normale monitoraggio delle transazioni.
Il bug è importante perché Orchard è il principale pool schermato di Zcash, dove gli utenti spostano le monete in un saldo privato che nasconde i dettagli delle transazioni alla vista pubblica. Se le monete possono essere create lì senza essere notate, la credibilità del sistema di privacy subisce un duro colpo, anche se il problema è stato ora risolto. Per un asset incentrato sulla privacy come ZEC, non si tratta di una piccola nota tecnica a piè di pagina, ma di una questione di fiducia nel registro stesso.
L'analisi di Quantstamp descrive come il difetto sia sfuggito a molteplici audit, un promemoria del fatto che anche il codice di un cripto-asset attentamente revisionato può nascondere casi limite di lunga data. L'azienda non ha affermato che il bug sia stato sfruttato attivamente su larga scala, ma l'esistenza di un percorso per il conio non rilevabile è sufficiente a sollevare interrogativi sulle precedenti attività schermate e sui limiti del rilevamento a posteriori nei sistemi privati.
Secondo il materiale di origine, gli sviluppatori di Zcash hanno corretto il problema all'inizio di questo mese, ma la divulgazione risulta comunque scomoda per i detentori. Le notizie sulla sicurezza relative alle privacy coin possono pesare rapidamente sul sentiment, specialmente quando la vulnerabilità tocca il lato dell'offerta piuttosto che un semplice bug del wallet o dell'interfaccia. I trader tendono a preoccuparsi meno del percorso del codice in sé e più della possibilità di un'inflazione nascosta, anche se tale rischio è ora stato eliminato.
I prossimi elementi da monitorare sono il seguito formale del progetto, eventuali ulteriori accertamenti sull'impatto sui saldi schermati e se gli exchange o i custodi modificheranno le loro procedure per i depositi e i prelievi di ZEC. Se la comunità concluderà che il problema è stato contenuto prima di un abuso diffuso, il mercato potrebbe andare avanti. Se nuove prove dimostreranno che la falla è stata utilizzata o che altre parti del pool schermato necessitano di una revisione, ZEC potrebbe rimanere sotto pressione.
Pool di privacy di Zcash: bug di contraffazione nascosto per 4 anni
Un difetto nascosto nel sistema di saldi privati di Zcash ha permesso di creare monete contraffatte senza essere scoperti, minando la fiducia degli utenti nella privacy delle transazioni. Il bug è stato corretto questo mese, ma solleva preoccupazioni su passate monete false non rilevate e sulla sicurezza delle funzioni di privacy.