仮想通貨Zcash、水面下で偽装通貨の発行を可能とする脆弱性を修正　被害報告はなし

Zcash、通貨偽造の脆弱性が明らかに

主要な匿名通貨で、時価総額21位の仮想通貨Zcash（ZEC）における通貨の偽造が可能となる脆弱性が秘密裏に発見され、昨年10月末時点で修正されていた事がZcash Companyからの公式声明で明らかになった。

今回公表された脆弱性は、攻撃者がマイニング報酬時に新規発行される偽装Zcashの生成を可能とするものではあるが、昨年10月末に行われた大型アップデート「Sapling」で既に修正されているため、問題は解決しているとされている。なお、通貨保有者も特別な処置をする必要はない。

脆弱性の発見と修正に至る経緯

公式ブログによると2018年3月1日、Zashカンパニーに雇われていた暗号学者Ariel Gabizon氏がZECを偽造し、理論上では無限発行を可能にすることも確認されていたとしている。

アップデートから公表まで時間がかかった背景として、脆弱性の悪用を懸念したZcash Company側が、改善案が考案、安全環境が確認されるまで、意図的に脆弱性の公表を控えていたようだ。

この発見を受け、Zcash Company内では脆弱性を修正する2つの案が考案され、その内の一つであったGroth16 proving systemを導入する「Sapling」のZcash大型アップデートに脆弱性のパッチが含まれることが決定。その後開発は進み、10月28日に行われた「Sapling」内で、ZECの偽造を可能とする脆弱性が修正された。

なお、大型アップデート「Sapling」の主なアップデート内容は、ゼロ知識証明に伴う多大なブロック消費量を大きく削減するもので、トランザクションの高速化だ。そのほかにもモバイル対応、分散アドレス、トランザクションの開示/非開示オプションの採用といった新機能の導入が見られていた。

最終的に、Zcash companyが社内で発表のタイミングと対応を検討した後、本日米時間2月5日、今回の発表に至ったことが開示されている。