Cryptonews

Разработчики укрепили безопасность Zcash, исправив множество серьезных эксплойтов в базовой инфраструктуре

Источник
cryptonewstrend.com
Опубликовано
Разработчики укрепили безопасность Zcash, исправив множество серьезных эксплойтов в базовой инфраструктуре

Оглавление Уязвимости Zcash были исправлены в двух полноузловых реализациях после скоординированного раскрытия информации о безопасности. 17 апреля 2026 года Zcash Open Development Lab выпустила zcashd v6.12.1, а Zcash Foundation выпустила Zebra v4.3.1. Исследователь безопасности Алекс «Скаляр» Сол сообщил о проблемах 4 апреля 2026 года. Были устранены четыре уязвимости, в том числе ошибка сбоя узла, пробел в обеспечении консенсуса и обход турникета учета. Никакие средства пользователей не были скомпрометированы, и ни на каком этапе не произошло инфляции поставок ZEC. Самой уязвимой ошибкой был сбой транзакции Orchard, присутствующий как в zcashd, так и в Zebra. Созданная транзакция со случайным кодированием ключей, состоящим из всех нулей, может немедленно привести к сбою любого обрабатывающего ее узла. Повторная трансляция такой транзакции может эффективно препятствовать участию узлов в сети. До патча в сети Zcash не было обнаружено транзакций, вызывающих это условие. Между этими двумя реализациями также существовал соответствующий пробел в правоприменении. Zebra уже ввела требования протокола к эфемерным открытым ключам в действиях Orchard, но zcashd этого не сделал. Это означало, что созданная транзакция могла быть принята zcashd и отклонена Zebra. Такая транзакция могла бы вызвать видимое разветвление цепочки между узлами, на которых работают разные клиенты. Отдельная ошибка в zcashd, появившаяся в версии 5.10.0 в августе 2024 года, могла отключить учет турникетов при определенных условиях. Получение повторяющегося заголовка блока от узла может незаметно сбросить отслеживание баланса пула до нуля. Это условие может возникнуть из-за обычного поведения одноранговой сети, а не только из-за преднамеренной атаки. Турникет отслеживает балансы ZEC в защищенных и прозрачных пулах ценностей и служит критически важным уровнем безопасности. Несмотря на это, эту ошибку нельзя было использовать независимо для кражи или раздувания ZEC. Официальное сообщение подтвердило, что «использование его для кражи средств потребует наличия отдельной, независимой уязвимости баланса». Раскрытие информации о безопасности: мы выпустили zcashd v6.12.1, а Zcash Foundation выпустил Zebra v4.3.1, устраняя четыре уязвимости, включая ошибку кодирования действий Orchard, которая могла привести к сбою узлов, и связанную с этим проблему разделения консенсуса между двумя клиентами. Пулы для майнинга… — Открытая лаборатория разработки Zcash (@zodl_co), 17 апреля 2026 г. Любое возникающее в результате нарушение турникета также было бы публично заметно как обнаруживаемая аномалия цепочки. До внедрения исправления в сети Zcash такой аномалии не возникало. Лаборатория Zcash Open Development Lab напрямую отреагировала на раскрытие информации, заявив: «Майнинговые пулы, представляющие подавляющее большинство хэш-мощности сети, и основной оператор, использующий Zebra в производстве майнинга, развернули исправления до этого раскрытия». Инженеры ZODL Крис Наттикомб и Дайра-Эмма Хопвуд написали патчи zcashd и проверяли работу друг друга. Наттикомб рассмотрел аварию в Орчарде, пробелы в правоприменении и ошибку учета турникетов. Хопвуд является автором исправлений для защиты от неопределенного поведения целочисленного переполнения и безопасности исключений. С майнинг-пулами ViaBTC, Luxor, F2Pool и AntPool, каждый из которых использует zcashd, связались напрямую для координации. Foundry, которая использует Zebra в горнодобывающей отрасли, также развернула свое исправление перед публичным выпуском. Конрадо Гувеа из Zcash Foundation отдельно разработал и поставил патч Zebra. Такая разъяснительная работа обеспечила сохранение стабильности сети на протяжении всего процесса раскрытия информации. Версия zcashd v6.12.1 также включала более широкие изменения, помимо исправлений основных уязвимостей. При активации NU6.1 была добавлена ​​контрольная точка стоимости цепочки поставок, чтобы обеспечить обнаружение коррупции в будущем. Защита от целочисленного переполнения была добавлена ​​в процедуры накопления баланса пула в нескольких путях кода. Эти дополнения обеспечивают дополнительный уровень защиты от крайних сценариев эксплуатации. Это второй набор уязвимостей Zcash, обнаруженный за месяц. На X лаборатория открытой разработки Zcash заявила: "У нас нет доказательств того, что какая-либо из этих ошибок была использована. Средства пользователей и конфиденциальность никогда не подвергались риску, и никакое увеличение поставок ZEC было невозможно". Алекс «Скаляр» Сол также сообщил об уязвимости проверки Sprout в марте 2026 года по тем же скоординированным каналам. Пользователи, использующие zcashd или Zebra, должны немедленно обновиться до последних исправленных версий.