На основе информации на форуме сообщества | Автор: ruzcash
Комитет по грантам сообщества Zcash объявил резерв в $1 млн для выплат независимым исследователям, которые сообщают об уязвимостях в ключевых компонентах Zcash через согласованный порядок раскрытия. Решение появилось после недавних публикаций о найденных проблемах безопасности: 31 марта 2026 года была опубликована информация об уязвимости в старом пуле Sprout, а 17 апреля стали известны дополнительные проблемы в zcashd и Zebra. Все эти проблемы были оперативно устранены до публикации подробных отчётов. По оценке ZCG, эти случаи показали не только серьёзность возможных угроз, но и способность экосистемы быстро координировать работу над безопасностью.
Контекст: сложные атаки и новые сценарии угроз
Главная практическая проблема в том, что поиск уязвимостей становится быстрее из-за инструментов на базе ИИ. За последние недели KelpDAO потерял около $292 млн после атаки на внешнюю систему проверки межсетевых операций. Rhea Finance столкнулась с эксплуатацией ошибки в кредитной части протокола, где злоумышленник использовал специально сконструированные маршруты обмена и манипуляцию с ликвидностью. Litecoin пережил редкую реорганизацию 13 недействительных блоков после проблемы в MWEB. Из-за этого часть сторонней инфраструктуры могла обработать операции из цепочки, которая позднее была признана недействительной.
Все эти случаи объединяет важный признак: атаки строились вокруг нетипичных сценариев, которые сложно заранее предусмотреть обычными проверками. В одном случае злоумышленник использовал внешнюю инфраструктуру проверки межсетевых сообщений, в другом заранее подготовил десятки контрактов, сотни кошельков и искусственные маршруты обмена, в третьем совместил проблему в MWEB с давлением на часть майнинговой инфраструктуры. Именно такие нестандартные сценарии становятся всё более вероятными в среде, где анализ кода и поиск слабых мест ускоряются с помощью ИИ.
При этом далеко не все найденные уязвимости перерастают в фактические атаки. Часто о них сообщают добросовестные исследователи напрямую ответственным командам. Среди таких сообщений есть реальные находки, которые справедливо вознаграждать, но также много слабых, непроверенных или невоспроизводимых отчётов. Именно поэтому ZCG считает, что Zcash нужен заранее описанный порядок работы с внешними исследователями.
Как устроена программа
Программа распространяется на несколько групп проектов: zcashd, Zebra и librustzcash как наиболее важные части узловой инфраструктуры; Zallet, Zaino и lightwalletd как вспомогательные компоненты; а также отдельные инструменты для разработчиков, если проблема может повлиять на безопасность будущих релизов. Оценка уязвимостей будет строиться вокруг четырёх ключевых свойств Zcash: влияния на эмиссию ZEC, сохранности активов, конфиденциальности защищённых транзакций и устойчивости подтверждённых операций.
Размер выплат зависит от важности затронутого компонента и серьёзности проблемы. Например, за критическую уязвимость в основной узловой инфраструктуре базовая выплата составит $150 000, а с дополнительным бонусом может достигать $225 000. За менее серьёзные проблемы суммы ниже. Выплаты будут производиться в защищённых ZEC, а запросы на выплату должны идти не напрямую в ZCG, а через команду, которая курирует соответствующий элемент инфраструктуры, подтвердила проблему и участвовала в её исправлении.
Таким образом, комитет считает, что такая программа заранее создаёт финансовый стимул для исследователей сообщать о серьёзных проблемах ответственным способом, до того как ими смогут воспользоваться злоумышленники. Для пользователей это означает, что вокруг ключевой инфраструктуры Zcash появляется дополнительный механизм выявления и исправления уязвимостей, что повышает уверенность в защите активов.
Zcash выходит на Robinhood 
Комментировать статью