- Zcash a corrigé une vulnérabilité critique dans son logiciel de nœud qui aurait pu exposer des millions de dollars de ZEC.
- Le défaut touchait la vérification des preuves pour les transactions liées au pool protégé Sprout, désormais obsolète, bien qu’aucun exploit n’ait été signalé.
Zcash a corrigé un grave défaut logiciel qui, dans de mauvaises circonstances, aurait pu permettre aux attaquants de soutirer une quantité significative de ZEC à partir d’une ancienne partie du réseau.
Le problème se trouvait dans zcashd, le logiciel du nœud, et portait sur les transactions impliquant le pool protégé Sprout de l’héritage.
Selon la divulgation, les nœuds ignoraient la vérification des preuves dans ces cas. C’est le type de bogue qui attire rapidement l’attention dans les systèmes axés sur la confidentialité, car les contrôles de preuve ne sont pas un détail secondaire. Ils font partie de la mécanique centrale qui empêche, dès le départ, que des transferts invalides soient acceptés.
Un bogue dans un ancien pool, mais qui reste un risque réel
La vulnérabilité a été divulguée par Alex « Scalar » Sol le 23 mars, avec le rapport public publié mardi. La zone concernée n’était pas le principal chemin actuel de confidentialité auquel la plupart des utilisateurs pensent aujourd’hui, mais l’ancien pool Sprout, déjà déprécié. Même ainsi, « déprécié » ne veut pas dire inoffensif. Si des fonds y restent, la surface d’attaque demeure pertinente.
Ce qui rendait le défaut particulièrement sensible, c’était la possibilité que des transactions invalides puissent passer une étape critique de validation. Concrètement, cela aurait pu ouvrir la porte à un vidage du pool sans que le réseau ne détecte le problème là où il aurait dû le faire.
Zcash affirme que les fonds restent en sécurité
Pour l’instant, la partie importante, c’est cela. Le bogue a été corrigé avant toute exploitation connue, et la divulgation indique que tous les fonds des utilisateurs restent en sécurité.
Cela devrait calmer la panique immédiate, même si cela n’efface pas la leçon plus large. Dans les systèmes crypto, les composants de l’héritage ont la particularité de rester économiquement pertinents longtemps après que l’écosystème en a tourné mentalement la page. Les anciens pools, la logique mise au rebut, les chemins de code dépréciés : tout cela continue d’avoir de l’importance quand des actifs réels restent attachés.
Pour Zcash, l’épisode tient moins au dommage visible qu’à la valeur de la détection d’une défaillance sérieuse de validation avant qu’elle ne se produise. En matière de sécurité blockchain, l’histoire la plus importante est parfois celle de l’exploit qui n’a jamais eu la chance de se produire.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Polymarket audite les startups du programme Builders pour des inquiétudes liées au délit d’initié - Unchained
Polymarket a lancé un audit de son programme Builders après avoir repéré des outils tiers susceptibles de faciliter le délit d’initié en imitant des transactions réussies. L’examen fait suite à des critiques concernant d’éventuels abus de marché liés à ces applications.
UnchainedCryptoIl y a 41m
CoW Swap interrompt le protocole après un détournement de DNS redirigeant le frontend vers un site malveillant - Unchained
CoW Swap a suspendu temporairement son protocole le 14 avril 2026, après qu’un détournement de DNS a redirigé des utilisateurs vers un site de phishing. La société de sécurité de la plateforme a alerté les utilisateurs afin qu’ils révoquent les autorisations de portefeuille. Les smart contracts sous-jacents étaient sûrs, mais le backend et les API ont été mis en pause par précaution.
UnchainedCryptoIl y a 42m
Circle visé par un recours collectif Drift : litige juridique sur les obligations de gel de l'USDC
Par l'intermédiaire de l'investisseur du protocole Drift, Joshua McCollum, pour plus de 100 membres, le mercredi, des membres de la communauté ont intenté une action en justice contre Circle devant le tribunal de district des États-Unis dans le Massachusetts, l'accusant d'avoir, lors du vol d'environ 280 millions de dollars du protocole Drift le 1er avril, permis à l'attaquant de transférer environ 230 millions de dollars USDC vers Ethereum via un protocole de transfert inter-chaînes.
MarketWhisperIl y a 1h
Tether gèle 3,29 M USDT à l’adresse du pirate de Rhea Finance
Le PDG de Tether, Paolo Ardoino, a annoncé le gel de 3,29 millions de USDT liés à un pirate informatique associé au vol de 7,6 millions de dollars de Rhea Finance, en raison d’une attaque par contrat de jeton factice.
GateNewsIl y a 2h
Circle fait l’objet d’une action collective concernant $230M USDC non bloqués lors de l’attaque du Drift Protocol
Circle fait face à une action collective pour ne pas avoir gelé $230 million de dollars en USDC volés après l’attaque du Drift Protocol. Les demandeurs soutiennent que les protocoles de Circle ont permis aux attaquants de déplacer et de convertir les fonds volés sans intervention, soulevant des inquiétudes quant aux responsabilités de l’entreprise en matière de surveillance des transferts inter-chaînes.
GateNewsIl y a 2h
7,6 millions de dollars dérobés à Rhea Finance : attaque par jetons contrefaits manipulant les oracles DeFi
Le protocole de finance décentralisée Rhea Finance a subi, le 16 avril, une faille de sécurité majeure, entraînant une perte d’environ 7,6 millions de dollars. Les attaquants ont manipulé les oracles en créant des contrats de jetons frauduleux, amenant le protocole à évaluer de manière incorrecte la valeur des actifs. Cette perte représente environ 6 % de la valeur totale verrouillée de Rhea Finance, démontrant le risque des attaques par manipulation d’oracle dans l’écosystème DeFi. Les utilisateurs doivent évaluer avec prudence les risques liés à leurs actifs.
MarketWhisperIl y a 2h
