Дослідник безпеки Алекс Сол (Alex Sol), який використовує псевдонім Scalar, виявив критичну вразливість у вузлах Zcash. Вразливість дозволяла недобросовісним майнерам вивести понад 25 000 ZEC на суму $6,5 млн із застарілого пулу Sprout.
Вразливість торкалася версій застарілого пулу Sprout, випущених з липня 2020 року. У листопаді 2020 року він був закритий для нових депозитів, але продовжував зберігати близько 25424 ZEC, які користувачі не перенесли в оновлені версії «прихованих пулів» (shielded pools). На щастя, зловмисники не встигли скористатися багом і кошти користувачів залишились у безпеці.
Команда розробників Zcash (ZODL) заявила, що якби атака відбулася, механізм під назвою турнікет (turnstile) не дозволив би збільшити емісію токенів. Механізм підтверджує, що кожна монета, що залишає пул Sprout, насправді туди входила. Зловмисники не могли б випустити нові токени понад загальну кількість токенів, які перебувають в обігу (близько 16,63 млн. ZEC). Тому загроза зводилася лише до втрати коштів користувачів, але не інфляції самого протоколу, заспокоїла команда проекту.
Розробники Zcash, разом із Zcash Open Development Lab (ZODL), випустили патч у версії 6.12.0. Великі майнінгові пули оновили свої системи – пул Luxor розгорнув виправлення 25 березня, а пули F2Pool, ViaBTC та AntPool встигли зробити це до 26 березня.
За виявлену помилку Алекс Сол отримає винагороду у розмірі 200 ZEC (понад $51 000), пообіцяла команда проекту. За 50 ZEC має намір вкласти кожна організація: Shielded Labs, ZODL, Zcash Foundation та Bootstrap.
За добу криптовалюта ZEC впала на 2,2% до $245. Ринкова капіталізація криптоактиву становить $4,08 млрд, а добовий обсяг торгів зріс на 17,6%, до $535,1 млн. Зараз ZEC займає 22 місце за ринковою капіталізацією серед криптовалют і торгується на 95% нижче за рекордний максимум $5941, досягнутого дев'ять років тому, 29 жовтня.
У березні розробники Zcash залучили $25 млн на створення нового приватного криптогаманця Zodl. До інвесторів увійшли інвесткомпанії Coinbase Ventures і a16z Crypto.