- Zcash đã khắc phục một lỗ hổng nghiêm trọng trong phần mềm node của mình, có thể đã khiến hàng triệu đô la trị giá ZEC bị lộ.
- Lỗ hổng ảnh hưởng đến việc xác minh bằng chứng đối với các giao dịch gắn với pool shielded Sprout đã bị ngừng sử dụng (deprecated), dù không có báo cáo nào về việc khai thác.
Zcash đã vá một lỗ hổng phần mềm nghiêm trọng có thể, trong những hoàn cảnh sai lầm, đã cho phép kẻ tấn công rút cạn một lượng ZEC đáng kể từ một phần cũ của mạng lưới.
Vấn đề nằm trong zcashd, phần mềm node, và tập trung vào các giao dịch liên quan đến pool shielded Sprout kế thừa (legacy).
Theo bản công bố, các node đã bỏ qua việc xác minh bằng chứng trong các trường hợp đó. Đây là kiểu lỗi thường thu hút sự chú ý nhanh trong các hệ thống tập trung vào quyền riêng tư, vì việc kiểm tra bằng chứng không phải là chi tiết phụ. Nó là một phần của “cơ chế cốt lõi” giúp các giao dịch chuyển tiền không hợp lệ không bị chấp nhận ngay từ đầu.
Một lỗi trong một pool cũ, nhưng vẫn là rủi ro thực sự
Lỗ hổng được Alex “Scalar” Sol công bố vào ngày 23 tháng 3, cùng với báo cáo công khai được phát hành vào thứ Ba. Khu vực bị ảnh hưởng không phải là đường dẫn quyền riêng tư chính mà đa số người dùng nghĩ đến ngày nay, mà là pool Sprout cũ hơn, vốn đã bị ngừng sử dụng (deprecated) từ trước. Dù vậy, “deprecated” không đồng nghĩa với vô hại. Nếu các khoản tiền vẫn còn nằm ở đó, bề mặt tấn công vẫn còn phù hợp.
Điều làm lỗ hổng đặc biệt nhạy cảm là khả năng các giao dịch không hợp lệ có thể lọt qua một bước xác thực quan trọng. Nói theo cách thực tế, điều đó có thể đã mở ra cánh cửa để rút tiền từ pool mà mạng không phát hiện vấn đề ở nơi mà nó lẽ ra phải bắt lỗi.
Zcash nói rằng quỹ vẫn an toàn
Cho đến nay, phần quan trọng nhất là đây. Lỗi đã được khắc phục trước bất kỳ hoạt động khai thác nào được biết đến, và phần công bố nêu rõ rằng tất cả quỹ người dùng vẫn an toàn.
Điều này có thể giúp xoa dịu sự hoảng loạn ngay lập tức, dù nó không xóa bỏ bài học rộng hơn. Các thành phần kế thừa trong hệ thống crypto có thói quen vẫn giữ tính “liên quan về mặt kinh tế” lâu sau khi hệ sinh thái đã chuyển sang suy nghĩ khác. Các pool cũ, logic đã được loại bỏ, các nhánh code đã bị ngừng sử dụng (deprecated)—những thứ này vẫn còn quan trọng khi tài sản thực sự vẫn gắn liền.
Với Zcash, sự việc này ít liên quan đến thiệt hại nhìn thấy được và nhiều hơn về giá trị của việc phát hiện một thất bại xác thực nghiêm trọng trước khi nó trở thành một vấn đề. Trong bảo mật blockchain, đôi khi câu chuyện quan trọng nhất lại là cuộc khai thác chưa bao giờ có cơ hội xảy ra.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Quỹ Ethereum: Chương trình Ketman xác định 100 đặc vụ Triều Tiên trong 6 tháng
Dựa trên báo cáo hồi cứu của chương trình ETH Rangers do Quỹ Ethereum công bố vào ngày 17 tháng 4 năm 2026 (thứ Năm), trong thời gian tài trợ kéo dài 6 tháng, chương trình Ketman được Quỹ Ethereum tài trợ đã xác định 100 nhân viên IT Triều Tiên thâm nhập các tổ chức Web3 bằng danh tính giả, đồng thời liên hệ khoảng 53 dự án mã hóa, cảnh báo rằng có thể họ đã thuê các đặc vụ Triều Tiên đang hoạt động.
MarketWhisper16phút trước
Sàn giao dịch tiền mã hóa Kyrgyzstan Grinex bị dính $15M Hack, lộ mạng lưới né tránh trừng phạt của Nga
Một cuộc tấn công mạng nhắm vào sàn giao dịch tiền mã hóa Grinex tại Kyrgyzstan đã lộ ra một mạng lưới bị cáo buộc hỗ trợ Nga né lệnh trừng phạt. Tin tặc đã đánh cắp $15 triệu, nhắm vào Grinex và TokenSpot được liên kết. Grinex, được xem như sự tiếp nối của Garantex vốn bị trừng phạt, đang bị soi xét vì đã tạo điều kiện cho các giao dịch liên quan đến các tổ chức chịu trừng phạt.
GateNews1giờ trước
Polymarket Kiểm toán Các Startup trong Chương trình Builders vì Lo ngại Giao dịch Nội gián - Unchained
Polymarket đã khởi xướng một cuộc kiểm toán Chương trình Builders của mình sau khi phát hiện các công cụ bên thứ ba có thể tạo điều kiện cho giao dịch nội gián bằng cách bắt chước các lệnh giao dịch thành công. Việc rà soát diễn ra sau sự soi xét liên quan đến khả năng thao túng thị trường gắn với các ứng dụng này.
UnchainedCrypto1giờ trước
CoW Swap Tạm Dừng Giao Thức Sau Vụ Chiếm Đoạt DNS, Chuyển Mặt Tiền (Frontend) Sang Trang Độc Hại - Unchained
CoW Swap đã tạm dừng giao thức của mình vào ngày 14 tháng 4 năm 2026, sau khi bị chiếm đoạt DNS khiến người dùng bị chuyển hướng đến một trang lừa đảo (phishing). Đơn vị bảo mật của nền tảng đã cảnh báo người dùng thu hồi các quyền (approval) của ví. Các hợp đồng thông minh nền tảng là an toàn, nhưng hệ thống phụ trợ (backend) và API đã bị tạm dừng như một biện pháp phòng ngừa.
UnchainedCrypto2giờ trước
Circle 遭 Drift 集體訴訟,USDC 凍結義務引法律爭議
由 Drift Protocol 投資者 Joshua McCollum 代表逾 100 名成員,於週三在美國馬薩諸塞州地方法院向 Circle 提起訴訟,指控後者於 4 月 1 日 Drift Protocol 約 2.8 億美元被盜事件中,允許攻擊者透過跨鏈傳輸協議將約 2.3 億美元 USDC 轉移至以太坊。
MarketWhisper3giờ trước
Tether phong tỏa 3,29 triệu USDT tại địa chỉ hacker của Rhea Finance
Giám đốc điều hành Tether Paolo Ardoino đã công bố việc phong tỏa 3,29 triệu USDT liên quan đến một hacker liên kết với vụ đánh cắp 7,6 triệu USD của Rhea Finance do tấn công hợp đồng token giả.
GateNews4giờ trước
