Gate News сообщает, 1 апреля, что приватная монета Zcash раскрыла и исправила критическую уязвимость безопасности. Безопасностный исследователь Алекс “Scalar” Sol сообщил о ней 23 марта; уязвимость возникла из-за того, что zcashd-нода при обработке транзакций, затрагивающих приватный пул Sprout, пропускала проверку доказательств, что потенциально могло быть использовано злонамеренными майнерами для переноса более 25 000 ZEC (примерно 6,5 миллиона долларов США) из уже устаревшего пула Sprout.
Официально заявлено, что уязвимость существовала с июля 2020 года, но не была фактически использована; пользовательские средства при этом всегда оставались в безопасности. Команда разработчиков выпустила версию v6.12.0 для завершения исправления, а основные майнинговые пулы завершили обновление и развертывание в течение нескольких дней. Кроме того, реализация Zebra full node, не затронутая проблемой, обладает способностью инициировать разветвление цепочки, что может обеспечить дополнительную защиту в случае эксплуатации уязвимости.
Согласно раскрытым данным, пул Sprout, хотя и был закрыт для новых депозитов в ноябре 2020 года, все еще содержит около 25 424 ZEC, которые не были перенесены. Даже если уязвимость будет использована, механизм turnstile в Zcash может предотвратить инфляционную эмиссию и гарантировать, что общий объем предложения не будет превышен. Эта уязвимость была обнаружена с помощью ИИ, и исследователь получит награду в общей сложности 200 ZEC (около 51 000 долларов США). Примечательно, что Zcash уже устраняла в 2019 году серьезный дефект, который мог приводить к бесконечной эмиссии.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
В 2026 году в 1 квартале проекты Web3 из-за хакеров и мошенничества понесли потери более 460M долларов; фишинговые атаки доминируют
Отчет, выпущенный Hacken, показывает, что в первом квартале 2026 года Web3-проекты из-за хакерских атак и мошенничества понесли убытки на 464,5 млн долларов, при этом потери от фишинга и атак социальной инженерии составили 306 млн долларов, а мошенничество с аппаратными кошельками стало основной статьей потерь. Кроме того, значительные потери также связаны с уязвимостями смарт-контрактов и сбоями контроля доступа. В части регулирования европейская правовая база повышает требования к системам безопасности и мониторингу.
GateNews37м назад
RAVE стремительно разгоняет волну интереса к монетам-клонам, FF и INX раскрывают схему «накачать — и распродать»
В последнее время клоны-монеты, представленные RAVE, вызвали бурный инвестиционный ажиотаж, но некоторые прежние звёздные проекты, такие как FF и INX, воспользовались этим всплеском для операций по принципу «накачать и разгрузить»: быстро разгоняли цену монеты, чтобы привлечь розничных инвесторов, а затем резко продавали, что привело к стремительному падению цен. Такое поведение не только раскрыло финансовые трудности со стороны команды проекта, но и подорвало доверие инвесторов. Инвесторам нужно быть бдительными к таким сигналам, как краткосрочный аномальный разгон, чтобы избежать рисков, связанных с манипулированием рынком.
MarketWhisper4ч назад
ФБР и Индонезия объединились, чтобы ликвидировать фишинговую сеть W3LL; в деле фигурирует более 20 миллионов долларов США
ФБР США и полиция Индонезии совместно успешно ликвидировали W3LL-фишинговую сеть, изъяли связанное оборудование и задержали подозреваемых. Набор инструментов W3LL-фишинга предлагается по низкой цене и использует атаки «человек посередине», чтобы обойти многофакторную аутентификацию и предоставить фальшивые страницы входа, формируя организованную экосистему сетевых преступлений. Эта операция знаменует сотрудничество США и Индонезии в сфере правоохранительного пресечения киберпреступлений, однако угрозы безопасности для пользователей криптовалют по-прежнему остаются серьёзными.
MarketWhisper7ч назад
Squads Срочное предупреждение: отравление адресов, поддельные многосторонние учетные записи с подписями — механизм белого списка будет запущен
Многосторонние (multisig) соглашения в экосистеме Solana Squads выдали предупреждение, указав, что злоумышленники проводят атаку с отравлением адресов пользователей, инициируя вредоносные действия через адреса. Подделывая учетные записи, атакующие вводят пользователей в заблуждение, чтобы они совершали неправомерные переводы. Squads подтвердили, что потерь средств не было, и подчеркнули, что это является атакой социальной инженерии, а не уязвимостью протокола. Для противодействия Squads уже внедрили меры защиты, включая систему предупреждений, подсказки для непересекающихся (неинтерактивных) учетных записей и механизмы белого списка. Этот инцидент отражает рост угроз социальной инженерии в экосистеме Solana и вызвал продолжительные проверки безопасности.
MarketWhisper8ч назад
Корейская организация по «мстительным посредникам» принимает оплату в USDT за исполнение насильственных преступлений; после задержания главного подозреваемого она продолжает работать
В Южной Корее в последнее время появилось несколько организаций «мстительных посредников», которые используют криптовалюты в качестве средства платежа; они предоставляют услуги по запугиванию и организации убийств через Telegram. Хотя главный виновник уже арестован, соответствующие объявления продолжают публиковаться. Полиция расследует более 50 дел и задержала около 30 человек.
GateNews9ч назад
Фейковое приложение Ledger в App Store Apple опустошает пенсионный фонд музыканта на 5,9 BTC
Фальшивое приложение Ledger в App Store от Apple обмануло музыканта Гарретта Даттона, заставив его лишиться 5.9 BTC, введя его seed phrase (seed-фразу). Этот случай подчеркивает продолжающиеся мошенничества с кошельками и использование доверия, поскольку украденный биткоин был отмыт через KuCoin.
CryptoNewsFlash14ч назад
