Zcash 已修補一項重大弱點，原本可能讓惡意行為者從該協議已棄用的 Sprout 隱匿池中提走資金。

摘要

• Zcash 在 zcashd 節點中修補了一項關鍵缺陷：這些節點會在傳統 Sprout 隱匿池中跳過驗證證明（proof verification），這個錯誤可能使超過 25,000 ZEC 暴露在潛在被掏空的風險之下。
• 這個弱點自 2020 年 7 月起一直存在，直到釋出 v6.12.0 為止；期間未偵測到遭到利用的跡象，且已確認所有使用者資金皆安全無虞。

由資安研究員 Alex「Scalar」Sol 於週二發布的披露報告表示，在 zcashd 節點中發現了重大缺陷，導致針對涉及傳統 Sprout 隱匿池的交易跳過證明驗證。

未有使用者資金損失

Zcash 的 Sprout 隱匿池是 2016 年隨著網路啟動而推出的原始「隱匿池」。它是零知識證明（zk-SNARKs）在量產型加密貨幣中的首個實作，使使用者得以私密地送出與接收 ZEC。

儘管該隱匿池在 2020 年 11 月已關閉不再接受新存款，但它仍持有約 25,424 ZEC，這些資金尚未遷移到較新的隱匿池版本。

根據披露內容，這個弱點涵蓋自 2020 年 7 月起的釋出版本，但已在於週二釋出的 v6.12.0 中修正。截至目前，該漏洞尚未被利用，且使用者資金仍然安全。

主要礦池，包括 Luxor、F2Pool、ViaBTC 與 AntPool，已在 3 月 26 日前部署修補程式，該報告補充道。

該報告還指出，Zebra 全節點（full node）實作不受影響。若出現企圖利用的情況，它會導致鏈分叉（chain fork），並作為額外的防護機制。

儘管這個問題的嚴重性很高，Zcash 開放式開發團隊已釐清：網路的「轉門（turnstile）」機制會強制規定，任何從 Sprout 隱匿池退出的幣必須先前已進入其中，因此本來就能避免更廣泛的供給通膨（supply inflation）。

對 Zcash 網路而言，這是其隱匿池中第二次發現關鍵且系統性的弱點。2019 年，Zcash 團隊披露了一個「偽造（counterfeiting）」錯誤：底層加密技術中的漏洞，可能讓攻擊者在未被偵測的情況下製造無限數量的 ZEC。