Компанія Quantstamp опублікувала технічний аналіз вразливості Zcash, яка дозволяла багу для підробки монет існувати в приватному пулі Orchard близько чотирьох років, перш ніж його виправили цього місяця. Аудиторська фірма заявила, що проблема могла дозволити зловмиснику створювати захищені ZEC, які було б важко, якщо не неможливо, виявити за допомогою звичайного моніторингу транзакцій.
Цей баг має велике значення, оскільки Orchard є основним захищеним пулом Zcash, куди користувачі переміщують монети на приватний баланс, що приховує деталі транзакцій від публічного перегляду. Якщо там можна непомітно створювати монети, довіра до системи конфіденційності падає, навіть якщо проблему вже усунули. Для такого активу, як ZEC, орієнтованого на приватність, це не просто незначна технічна деталь. Це стосується довіри до самого блокчейну.
Аналіз Quantstamp показує, як вразливість пройшла повз численні аудити, що є нагадуванням про те, що навіть ретельно перевірений криптокод може містити довготривалі приховані помилки. Фірма не стверджує, що баг активно використовувався у великих масштабах, але самого існування шляху для непомітного створення монет достатньо, щоб поставити під сумнів попередню активність у захищеному пулі та межі виявлення проблем у приватних системах постфактум.
Згідно з джерелом, розробники Zcash виправили проблему на початку цього місяця, але розкриття інформації все одно є неприємною новиною для власників токенів. Новини про безпеку конфіденційних монет можуть швидко вплинути на настрої ринку, особливо коли вразливість стосується емісії, а не простої помилки в гаманці чи інтерфейсі. Трейдери, як правило, менше переймаються самим кодом, а більше – можливістю прихованої інфляції, навіть якщо цей ризик тепер усунуто.
Наступними кроками, за якими варто стежити, є офіційна реакція проєкту, будь-які подальші звіти про те, чи постраждали захищені баланси, а також чи змінять біржі або кастодіани свої процедури обробки депозитів і виведення ZEC. Якщо спільнота дійде висновку, що проблему вдалося стримати до її масового використання, ринок може заспокоїтися. Якщо ж з'являться нові докази того, що вразливість використовували або що інші частини захищеного пулу потребують перевірки, ZEC може залишитися під тиском.
У Zcash виправили баг, що 4 роки дозволяв підробляти монети
Прихована вразливість у системі приватних балансів Zcash дозволяла непомітно створювати фальшиві монети, що підривало довіру до конфіденційності транзакцій. Цього місяця баг виправили, але залишаються питання щодо безпеки та можливого випуску підроблених монет у минулому.