Zcash dicht ernstig beveiligingslek in verouderde privacypool met 25.000 ZEC

Zcash (ZEC) heeft een ernstige kwetsbaarheid verholpen die mogelijk misbruikt had kunnen worden om tegoeden te onttrekken uit een verouderd onderdeel van het netwerk. Het probleem zat in de zogenoemde Sprout-pool, een oudere privacyfunctie waarin nog altijd circa 25.424 ZEC opgeslagen staan.

Bug al sinds 2020 aanwezig

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Alex “Scalar” Sol en dinsdag openbaar gemaakt. Bepaalde oudere zcashd-nodes sloegen een cruciale controle bij transacties over. Daardoor werd cryptografisch bewijs dat normaal de geldigheid van transacties bevestigt, niet altijd geverifieerd.

De fout bleek al sinds juli 2020 aanwezig in verschillende softwareversies. Dat betekent dat het lek bijna zes jaar onopgemerkt in het systeem zat. Inmiddels is het probleem opgelost met de introductie van zcashd versie 6.12.0.

Volgens het Zcash-team zijn er geen aanwijzingen dat de bug daadwerkelijk is misbruikt. Alle tegoeden van gebruikers zijn veilig gebleven.

Wat is de Sprout-pool?

De Sprout-pool werd in 2016 gelanceerd en maakte gebruik van zero-knowledge proofs, een technologie waarmee gebruikers volledig privé transacties kunnen uitvoeren zonder dat de details zichtbaar zijn op de blockchain. Sinds november 2020 is de pool gesloten voor nieuwe stortingen, maar de resterende ZEC moeten nog worden gemigreerd naar nieuwere systemen.

Miningpools reageerden snel

Grote miningpools waaronder Luxor, F2Pool, ViaBTC en AntPool implementeerden de update al op 26 maart. Dat wijst op een snelle en gecoördineerde reactie binnen het netwerk.

Niet alle systemen bleken kwetsbaar. De alternatieve Zebra full node-software werd niet getroffen. Bij eventueel misbruik zou dat waarschijnlijk tot een splitsing van de blockchain hebben geleid, wat als extra beveiligingslaag had gefunctioneerd.