Zcash розкриває приховану вразливість тривалістю 4 роки, що дозволяє необмежене створення монет

Zcash (ZEC), криптовалюта, орієнтована на приватність, 4 червня розкрила критичну вразливість, яка могла дозволити необмежене створення фальшивих монет у зоні приватних транзакцій Orchard Pool. Дослідник безпеки Тейлор Хорнбі виявив недолік 29 травня, використовуючи AI-модель Anthropic Opus 4.8 під час аудиту коду Orchard Circuit. Вразливість виникла через недостатні умови обмеження в процесі верифікації операцій еліптичної кривої, що давало змогу проходити валідації навіть за неправильних значень вхідних даних. Засновник Zcash Зуко Вілкокс оголосив через X, що екстрені патчі розгорнуті в усьому екосистемному середовищі, посилаючись на звіт від компанії Shielded Labs. Дефект існував від моменту активації Orchard Pool у травні 2022 року, залишаючись непоміченим чотири роки, попри перевірки провідними криптографами.

Тейлор Хорнбі виявляє вразливість із використанням AI-моделі Anthropic Opus 4.8

Тейлор Хорнбі ідентифікував вразливість 29 травня, коли досліджував Orchard Circuit за допомогою найновішої AI-моделі Anthropic Opus 4.8. Відкриття сталося під час рутинного безпекового аудиту інфраструктури приватних транзакцій Zcash. Зуко Вілкокс згадав висновки Хорнбі у дописі на X від 4 червня, який включав звіт Shielded Labs із поясненням технічної природи проблеми.

Недолік верифікації еліптичної кривої уможливив необмежене створення ZEC

Згідно зі звітом Shielded Labs, вразливість виникла через недостатні умови обмеження в процесі верифікації операцій еліптичної кривої в межах Orchard Circuit. Ця слабкість дозволяла атакувальникам використовувати неправильні значення вхідних даних, які все одно проходили б перевірки валідації, теоретично даючи змогу створювати необмежені фальшиві токени ZEC. Проблема конкретно впливала на Orchard Pool — зону приватних транзакцій Zcash, створену для приховування деталей транзакцій від публічного перегляду.

Shielded Labs завершує розгортання екстреного патча

Зуко Вілкокс заявив, що екстрені заходи реагування виправили вразливість, а патчі завершено в усьому екосистемному середовищі. Вразливість існувала з травня 2022 року, коли було активовано Orchard Pool, до її виявлення 29 травня. Shielded Labs зазначила, що криптографічно довести, чи справді вразливість була використана протягом цього чотирирічного періоду, неможливо. У звіті сказано, що хоча немає способу підтвердити, чи було здійснено підробку до патча, імовірність попереднього використання вважається низькою з огляду на те, що дефект роками уникав виявлення визнаними криптографами світу та був виявлений лише завдяки передовим дослідженням безпеки на базі AI.

Shielded Labs обговорює впровадження Turnstile Accounting

Shielded Labs обговорює появу нового пулу приватності та застосування Turnstile Accounting до наявних активів Orchard Pool. Компанія заявила, що цей підхід дозволить кожному перевірити цілісність загальної пропозиції Zcash і підтвердити, чи існують фальшиві монети в Orchard Pool.

Ціна ZEC падає на 17,04% до $447 після розкриття

Станом на 5 червня ZEC торгувався на рівні $447 (приблизно 687 200 вонів Республіки Корея) за даними CoinGecko. Це означало падіння на 17,04% за 24 години після розкриття вразливості.

FAQ

Як дослідники виявили вразливість Zcash?

Тейлор Хорнбі виявив вразливість 29 травня, використовуючи AI-модель Anthropic Opus 4.8, під час аудиту коду Orchard Circuit. AI-допоміжний аналіз виявив недостатні умови обмеження в процесі верифікації операцій еліптичної кривої, які уникли виявлення провідними криптографами протягом чотирьох років.

Чи може хтось підтвердити, що вразливість була використана до патча?

Shielded Labs заявила, що криптографічно довести, чи справді вразливість була використана протягом чотирирічного періоду з травня 2022 до 29 травня, неможливо. У звіті зазначено, що хоча методу верифікації не існує, імовірність попереднього використання вважається низькою через складність вразливості та передові AI-інструменти, потрібні для її виявлення.

Які заходи Zcash впроваджує, щоб запобігти майбутньому фальшивомонетництву?

Shielded Labs обговорює введення нового пулу приватності та застосування Turnstile Accounting до наявних активів Orchard Pool. Компанія заявила, що цей підхід дозволить кожному перевірити цілісність загальної пропозиції Zcash і підтвердити, чи існують фальшиві монети в Orchard Pool.