- Zcash виправив критичну вразливість у програмному забезпеченні свого вузла, яка могла б зазнати розкриття мільйонів доларів у ZEC.
- Недолік вплинув на перевірку доказів для транзакцій, пов’язаних із застарілим захищеним пулом Sprout, хоча експлуатацію не було повідомлено.
Zcash усунув серйозну ваду в програмі, яка за неправильних обставин могла дозволити зловмисникам вивести з мережі значну суму ZEC із старішої частини.
Проблема була всередині zcashd — програмного забезпечення вузла — і стосувалася транзакцій із використанням успадкованого захищеного пулу Sprout.
Згідно з повідомленням про розкриття, вузли пропускали перевірку доказів у цих випадках. Це саме той тип помилки, який швидко привертає увагу в системах, орієнтованих на приватність, адже перевірки доказів — не другорядна деталь. Це частина базового механізму, який не дозволяє приймати некоректні перекази.
Помилка в старому пулі, але все ще реальний ризик
Вразливість оприлюднив Алекс «Scalar» Сол 23 березня, а публічний звіт було випущено у вівторок. Уражена ділянка не є основним актуальним шляхом приватності, про який більшість користувачів думає сьогодні, але це старіший пул Sprout, який уже було деактивовано. Водночас «деактивовано» не означає «безпечно». Якщо кошти все ще там зберігаються, поверхня атаки залишається актуальною.
Наскільки ця вада була особливо чутливою, визначався тим, що недійсні транзакції могли пройти повз критичний етап перевірки. На практиці це могло відкрити двері для виведення коштів із пулу, не давши мережі виявити проблему там, де вона мала б.
Zcash каже, що кошти в безпеці
Поки що важливе ось що. Ваду виправили до будь-якої відомої експлуатації, і в повідомленні про розкриття сказано, що всі кошти користувачів залишаються в безпеці.
Це має вгамувати негайну паніку, хоча й не стирає ширший урок. У криптосистемах застарілі компоненти мають звичку залишатися економічно релевантними ще довго після того, як екосистема встигла психологічно «рухнутися далі» від них. Старі пули, знята з ужитку логіка, деактивовані гілки коду — усе це й надалі має значення, коли реальні активи досі прив’язані.
Для Zcash цей епізод менше про видиму шкоду і більше про цінність того, щоб виявити серйозний збій під час валідації ще до того, як він перетвориться на проблему. У безпеці блокчейну інколи найважливіша історія — це та, в якій експлойт так і не отримав шансу.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Ice Open Network зазнала витоку даних; Електронні листи користувачів і номери телефонів 2FA були розкриті
Ice Open Network повідомила про порушення безпеки 15 квітня, виявивши несанкціонований доступ до даних користувачів, зокрема адрес електронної пошти та номерів телефонів для 2FA, але без компрометації фінансових даних. Інцидент, пов'язаний з колишніми партнерами постачальника послуг, перебуває на юридичному розгляді, а користувачам радять оновити налаштування безпеки. Порушення підкреслює загострення проблем із безпекою в криптосекторі, при цьому за останні місяці повідомлялося про суттєві збитки.
GateNews1год тому
Російська криптобіржа Grinex зупиняє роботу після $13M хаку, загрожуючи мережі обходу санкцій
Російська криптовалютна біржа Grinex припинила роботу після кібератаки, яка спричинила збитки понад $13 мільйон. Зупинка впливає на здатність російських компаній конвертувати рублі на міжнародному рівні та створює труднощі для системи тіньових фінансів країни.
GateNews4год тому
Хак Kelp DAO, приписаний групі Lazarus; домен eth.limo перехоплено через соціальну інженерію
LayerZero повідомила, що експлойт Kelp DAO, якому приписують групу Lazarus з Північної Кореї, призвів до втрати $292 мільйона токенів rsETH через уразливості її децентралізованої мережі верифікаторів. Крім того, eth.limo зіткнулася з перехопленням домену внаслідок атаки соціальної інженерії, але DNSSEC пом’якшив серйозні наслідки.
GateNews8год тому
DeFi-хак спричинив відтік на $9 мільярда з Aave, оскільки викрадені токени використовувалися як застава
Нещодавній хак, який вивів майже $300 мільйонів із криптопроєкту, призвів до кризи ліквідності на Aave, через що користувачі вивели близько $9 мільярда. Сумніви щодо якості застави спричинили масові вилучення, підкресливши ризики в DeFi-кредитуванні.
GateNews8год тому
Фішингова атака на Ethereum викрадає $585K У чотирьох користувачів, один потерпілий втрачає $221K WBTC
У скоординованій фішинговій атаці на Ethereum було викрадено $585,000 у чотирьох потерпілих, використовуючи дозволи користувачів через оманливе посилання. Цей інцидент демонструє швидку втрату коштів через соціальну інженерію навіть під виглядом законності.
GateNews10год тому
