Quantstamp heeft een technische postmortem gepubliceerd over de fout in Zcash die ervoor zorgde dat een bug voor valsmunterij ongeveer vier jaar lang in de Orchard privacy-pool aanwezig was voordat deze deze maand werd verholpen. Het beveiligingsbedrijf stelde dat het probleem een aanvaller in staat had kunnen stellen om afgeschermde ZEC te creëren die moeilijk, zo niet onmogelijk, te detecteren zouden zijn via normale transactiemonitoring.
De bug is significant omdat Orchard de belangrijkste afgeschermde pool van Zcash is, waar gebruikers munten naar een privésaldo verplaatsen dat transactiegegevens aan het publieke oog onttrekt. Als daar ongemerkt munten kunnen worden gecreëerd, wordt de geloofwaardigheid van het privacysysteem aangetast, ook al is het probleem nu verholpen. Voor een privacy-asset als ZEC is dit geen kleine technische kanttekening; het raakt het vertrouwen in de ledger zelf.
De analyse van Quantstamp beschrijft hoe de fout meerdere audits wist te omzeilen, een herinnering dat zelfs uitvoerig gecontroleerde cryptocode langdurige, uitzonderlijke kwetsbaarheden kan bevatten. Het bedrijf gaf niet aan dat de bug op grote schaal actief is misbruikt, maar het bestaan van een methode voor ondetecteerbare creatie van munten is voldoende om vragen op te roepen over eerdere afgeschermde activiteiten en de beperkingen van detectie achteraf in private systemen.
Volgens de bronnen hebben de ontwikkelaars van Zcash het probleem eerder deze maand opgelost, maar de onthulling komt voor houders nog steeds ongelegen. Beveiligingsnieuws rond privacy-munten kan het sentiment snel beïnvloeden, vooral wanneer de kwetsbaarheid de aanbodzijde raakt in plaats van een simpele bug in een wallet of interface. Handelaren maken zich doorgaans minder zorgen over de technische details van de code en meer over de mogelijkheid van verborgen inflatie, zelfs als dat risico nu is weggenomen.
De volgende zaken om in de gaten te houden zijn de formele opvolging door het project, eventuele verdere onderzoeken naar of afgeschermde saldi zijn beïnvloed, en of beurzen of custodians hun procedures voor ZEC-stortingen en -opnames aanpassen. Als de gemeenschap concludeert dat het probleem is ingedamd voordat er op grote schaal misbruik van is gemaakt, kan de markt verdergaan. Als nieuw bewijs aantoont dat de fout wel is gebruikt of dat meer delen van de afgeschermde pool moeten worden onderzocht, zou ZEC onder druk kunnen blijven staan.
Zcash privacy-pool had vier jaar lang verborgen bug voor valsmunterij
Een verborgen fout in het privacysysteem van Zcash maakte het mogelijk om onopgemerkt valse munten te creëren, wat het vertrouwen van gebruikers in de privacy van transacties aantast. De bug is deze maand verholpen, maar roept vragen op over mogelijke onontdekte valse munten uit het verleden en de veiligheid van privacyfuncties.