Zcash corrige une faille de sécurité majeure dans un ancien pool de confidentialité avec 25 000 ZEC

Zcash (ZEC) a corrigé une vulnérabilité sévère qui aurait pu permettre le détournement de fonds à partir d’une partie obsolète du réseau. Le problème était localisé dans la Sprout-pool, une ancienne fonctionnalité de confidentialité où environ 25 424 ZEC sont encore stockés.

Une faille présente depuis 2020

La vulnérabilité a été découverte par le chercheur en sécurité Alex « Scalar » Sol et rendue publique mardi. Certaines anciennes versions de zcashd omettaient une vérification cruciale des transactions, ce qui empêchait la validation systématique des preuves cryptographiques normalement requises pour confirmer la validité des transactions.

Le défaut était présent dans différentes versions logicielles depuis juillet 2020, ce qui signifie que la faille est restée non détectée pendant près de six ans. Désormais, le problème est résolu avec le lancement de la version 6.12.0 de zcashd.

Selon l’équipe Zcash, rien n’indique que la faille ait été exploitée. Tous les fonds des utilisateurs sont restés en sécurité.

Qu’est-ce que la Sprout-pool ?

Lancée en 2016, la Sprout-pool utilisait des preuves à divulgation nulle de connaissance, une technologie permettant aux utilisateurs d’effectuer des transactions entièrement privées sans que les détails n’apparaissent sur la blockchain. Depuis novembre 2020, la pool est fermée aux nouveaux dépôts, mais les ZEC restants doivent encore être migrés vers des systèmes plus récents.

Les pools de minage ont réagi rapidement

Les grandes pools de minage, dont Luxor, F2Pool, ViaBTC et AntPool, ont implémenté la mise à jour dès le 26 mars, montrant une réaction rapide et coordonnée au sein du réseau.

Tous les systèmes n’étaient pas vulnérables. Le logiciel alternatif de nœud complet Zebra n’a pas été affecté. En cas d’exploitation, cela aurait probablement conduit à une division de la blockchain, servant de couche de sécurité supplémentaire.