Zcash (ZEC) สกุลเงินคริปโตที่เน้นความเป็นส่วนตัว เปิดเผยเมื่อวันที่ 4 มิถุนายนว่า พบช่องโหว่ร้ายแรงที่อาจทำให้สร้างเหรียญปลอมแบบไม่จำกัดได้ในพื้นที่ทำธุรกรรมเพื่อความเป็นส่วนตัวของ Orchard Pool นักวิจัยด้านความปลอดภัย Taylor Hornby พบความบกพร่องเมื่อวันที่ 29 พฤษภาคม ด้วยโมเดล AI Opus 4.8 ของ Anthropic ขณะตรวจสอบโค้ดส่วน Orchard Circuit ช่องโหว่นี้เกิดจากเงื่อนไขการกำกับที่ไม่เพียงพอในกระบวนการตรวจสอบการคำนวณบนเส้นโค้งวงรี (elliptic curve) ซึ่งทำให้การตรวจสอบผ่านได้ แม้จะมีค่าข้อมูลนำเข้าไม่ถูกต้อง Zooko Wilcox ผู้ก่อตั้ง Zcash ประกาศผ่าน X ว่า ได้มีการนำแพตช์ฉุกเฉินไปใช้งานทั่วทั้งระบบนิเวศ โดยอ้างอิงรายงานจากบริษัทพัฒนา Shielded Labs ช่องโหว่นี้มีอยู่มาตั้งแต่ Orchard Pool เปิดใช้งานในเดือนพฤษภาคม 2022 และตรวจไม่พบมานานถึง 4 ปี แม้จะมีการทบทวนโดยนักเข้ารหัสชั้นนำ
Taylor Hornby พบช่องโหว่โดยใช้โมเดล AI Anthropic Opus 4.8
Taylor Hornby ระบุช่องโหว่นี้เมื่อวันที่ 29 พฤษภาคม ขณะตรวจสอบ Orchard Circuit ด้วยโมเดล AI ล่าสุด Opus 4.8 ของ Anthropic การค้นพบเกิดขึ้นระหว่างการตรวจสอบความปลอดภัยเป็นประจำของโครงสร้างพื้นฐานธุรกรรมเพื่อความเป็นส่วนตัวของ Zcash Zooko Wilcox อ้างอิงผลการค้นพบของ Hornby ในโพสต์ X วันที่ 4 มิถุนายน ซึ่งมีรายงานของ Shielded Labs ที่อธิบายลักษณะเชิงเทคนิคของข้อบกพร่องดังกล่าว
ข้อบกพร่องในการตรวจสอบเส้นโค้งวงรี ทำให้สร้าง ZEC ปลอมแบบไม่จำกัดได้
จากรายงานของ Shielded Labs ช่องโหว่นี้เกิดจากเงื่อนไขการกำกับที่ไม่เพียงพอในกระบวนการตรวจสอบการคำนวณบนเส้นโค้งวงรีภายใน Orchard Circuit ความอ่อนแอนี้ทำให้ผู้โจมตีสามารถใช้ค่าข้อมูลนำเข้าแบบไม่ถูกต้อง แต่ยังผ่านการตรวจสอบความถูกต้องได้ ในทางทฤษฎีอาจทำให้สร้างโทเค็น ZEC ปลอมแบบไม่จำกัดได้ โดยเฉพาะอย่างยิ่ง ข้อบกพร่องนี้ส่งผลกระทบต่อ Orchard Pool ซึ่งเป็นพื้นที่ทำธุรกรรมเพื่อความเป็นส่วนตัวของ Zcash ที่ออกแบบมาเพื่อซ่อนรายละเอียดธุรอกจากมุมมองสาธารณะ
Shielded Labs ดำเนินการแพตช์ฉุกเฉินเสร็จสิ้น
Zooko Wilcox ระบุว่ามาตรการตอบสนองฉุกเฉินได้แก้ไขช่องโหว่แล้ว และได้ดำเนินแพตช์เสร็จสิ้นทั่วทั้งระบบนิเวศ ช่องโหว่นี้มีอยู่ตั้งแต่เดือนพฤษภาคม 2022 เมื่อ Orchard Pool ถูกเปิดใช้งาน ไปจนถึงการค้นพบเมื่อวันที่ 29 พฤษภาคม Shielded Labs ชี้ว่าการพิสูจน์เชิงเข้ารหัสว่าแท้จริงแล้วมีการนำช่องโหว่นี้ไปใช้ประโยชน์ในช่วงระยะเวลา 4 ปีดังกล่าวนั้นเป็นไปไม่ได้ รายงานระบุว่าแม้จะไม่มีวิธีใดที่ยืนยันได้ว่ามีการทำเหรียญปลอมเกิดขึ้นก่อนแพตช์หรือไม่ แต่ความเป็นไปได้ของการถูกโจมตีก่อนหน้านั้นถือว่าต่ำ เนื่องจากข้อบกพร่องหลบเลี่ยงการตรวจพบโดยนักเข้ารหัสชั้นแนวหน้ามานานหลายปี และเพิ่งถูกค้นพบจากงานวิจัยด้านความปลอดภัยที่ขับเคลื่อนด้วย AI ขั้นสูง
Shielded Labs อธิบายการนำ Turnstile Accounting ไปใช้
Shielded Labs กำลังหารือถึงการนำพูลความเป็นส่วนตัวแห่งใหม่มาใช้ และการประยุกต์ใช้ Turnstile Accounting กับสินทรัพย์ที่มีอยู่ใน Orchard Pool บริษัทระบุว่าวิธีนี้จะทำให้ทุกคนสามารถตรวจสอบความถูกต้องของมูลค่ารวมทั้งหมด (total supply) ของ Zcash และยืนยันได้ว่ามีเหรียญปลอมอยู่ภายใน Orchard Pool หรือไม่
ราคา ZEC ลดลง 17.04% เหลือ 447 ดอลลาร์ หลังเปิดเผยข่าว
ณ วันที่ 5 มิถุนายน ZEC ซื้อขายที่ 447 ดอลลาร์ (ประมาณ 687,200 วอนเกาหลี) ตามข้อมูลของ CoinGecko นี่คิดเป็นการลดลง 17.04% ในรอบ 24 ชั่วโมงหลังจากมีการเปิดเผยช่องโหว่
FAQ
นักวิจัยค้นพบช่องโหว่ของ Zcash ได้อย่างไร?
Taylor Hornby พบช่องโหว่นี้เมื่อวันที่ 29 พฤษภาคม โดยใช้โมเดล AI Opus 4.8 ของ Anthropic ขณะตรวจสอบโค้ดของ Orchard Circuit การวิเคราะห์ที่ช่วยด้วย AI ชี้ให้เห็นถึงเงื่อนไขการกำกับที่ไม่เพียงพอในกระบวนการตรวจสอบการคำนวณบนเส้นโค้งวงรี ซึ่งหลบเลี่ยงการตรวจพบโดยนักเข้ารหัสชั้นนำมาเป็นเวลา 4 ปี
มีใครยืนยันได้ไหมว่ามีการใช้ช่องโหว่นี้ก่อนมีแพตช์?
Shielded Labs ระบุว่าการพิสูจน์เชิงเข้ารหัสว่าแท้จริงแล้วมีการใช้ช่องโหว่ดังกล่าวในช่วง 4 ปีตั้งแต่เดือนพฤษภาคม 2022 ถึงวันที่ 29 พฤษภาคมนั้นเป็นไปไม่ได้ รายงานระบุว่าแม้จะไม่มีวิธีการยืนยัน แต่ความเป็นไปได้ของการถูกใช้งานก่อนหน้านั้นถือว่าต่ำ เนื่องจากความซับซ้อนของช่องโหว่และเครื่องมือ AI ขั้นสูงที่จำเป็นต่อการค้นพบ
Zcash กำลังใช้มาตรการใดเพื่อป้องกันการทำเหรียญปลอมในอนาคต?
Shielded Labs กำลังหารือถึงการนำพูลความเป็นส่วนตัวแห่งใหม่มาใช้ และการประยุกต์ใช้ Turnstile Accounting กับสินทรัพย์ที่มีอยู่ใน Orchard Pool บริษัทระบุว่าวิธีนี้จะทำให้ทุกคนสามารถตรวจสอบความถูกต้องของมูลค่ารวมทั้งหมด (total supply) ของ Zcash และยืนยันได้ว่ามีเหรียญปลอมอยู่ภายใน Orchard Pool หรือไม่
