Компания Quantstamp опубликовала технический анализ уязвимости Zcash, которая позволяла создавать поддельные монеты в пуле конфиденциальности Orchard в течение примерно четырех лет, прежде чем была исправлена в этом месяце. По заявлению фирмы по безопасности, эта проблема могла позволить злоумышленнику выпускать экранированные ZEC, которые было бы трудно, если не невозможно, обнаружить с помощью обычного мониторинга транзакций.
Эта уязвимость имеет большое значение, поскольку Orchard является основным экранированным пулом Zcash, куда пользователи переводят монеты на приватный баланс, скрывающий детали транзакций от публичного просмотра. Если монеты могут создаваться там незаметно, доверие к системе конфиденциальности страдает, даже если проблема уже устранена. Для такого приватного актива, как ZEC, это не просто незначительная техническая деталь, а вопрос доверия к самому реестру.
В анализе Quantstamp описывается, как дефект прошел через несколько аудитов, что служит напоминанием о том, что даже тщательно проверенный код криптоактивов может скрывать давние пограничные случаи. Фирма не заявила, что уязвимость активно эксплуатировалась в больших масштабах, но само существование возможности незаметного выпуска монет достаточно, чтобы поднять вопросы о предыдущей активности в экранированном пуле и о пределах обнаружения в приватных системах постфактум.
Согласно исходным материалам, разработчики Zcash исправили проблему ранее в этом месяце, но раскрытие информации все равно стало неприятной новостью для держателей. Новости о безопасности, связанные с приватными монетами, могут быстро повлиять на настроения, особенно когда уязвимость затрагивает предложение, а не просто ошибку в кошельке или интерфейсе. Трейдеры, как правило, меньше интересуются самим кодом и больше – возможностью скрытой инфляции, даже если этот риск теперь устранен.
Далее следует следить за официальными заявлениями проекта, любыми дополнительными отчетами о том, были ли затронуты экранированные балансы, и изменят ли биржи или кастодианы свои процедуры обработки депозитов и выводов ZEC. Если сообщество придет к выводу, что проблема была локализована до широкого злоупотребления, рынок может двинуться дальше. Если же появятся новые доказательства того, что уязвимость использовалась или что другие части экранированного пула требуют проверки, ZEC может остаться под давлением.
В пуле конфиденциальности Zcash четыре года была скрытая уязвимость
Скрытый дефект в системе приватных балансов Zcash позволял незаметно создавать поддельные монеты, подрывая доверие пользователей к конфиденциальности транзакций. Хотя уязвимость была устранена в этом месяце, она вызывает опасения по поводу ранее невыявленных фальшивых монет и безопасности функций приватности.