
هوت عملة Zcash بأرقام مضاعفة بين عشية وضحاها بعد أن كشف المطورون عن ثغرة أمنية حرجة في مجمع البروتوكول المحمي Orchard كان من الممكن أن تسمح بتزييف غير قابل للاكتشاف لأكثر من أربع سنوات.
تراجعت عملة الخصوصية من أعلى مستوى محلي يوم الأربعاء عند 635 دولارًا إلى أدنى مستوى خلال اليوم عند 309 دولارات يوم الخميس، وفقًا لبيانات CoinGecko. وقد تعافت منذ ذلك الحين بشكل طفيف لتصل إلى حوالي 330 دولارًا، بانخفاض 37.8% خلال اليوم.
https://t.co/v7BiOdzU9E
— zooko🛡🦓🦓🦓 ⓩ (@zooko) June 4, 2026
اكتشف الباحث الأمني تايلور هورنبي الثغرة الأمنية في 29 مايو باستخدام أدوات تدقيق مدعومة بالذكاء الاصطناعي.
كانت الثغرة موجودة في سطرين من التعليمات البرمجية ضمن دائرة Orchard، المكون التشفيري الذي يحكم معاملات Zcash المحمية، وسمحت لجهة خبيثة بإنشاء عملات ZEC مزيفة داخل المجمع المحمي دون أي توقيع على السلسلة. لو تم استغلال الخطأ قبل اكتشافه، لما كان هناك أي طريقة لإثبات ذلك.
كتبت Shielded Labs، المنظمة التي تقف وراء تطوير Zcash، في منشور إفصاح: "كانت الثغرة موجودة منذ تفعيل Orchard في مايو 2022 حتى تم نشر الإصلاح العاجل في 1 يونيو 2026." "نظرًا لخصائص الخصوصية في Orchard وطبيعة الخطأ، لا توجد طريقة حاسمة لتحديد ما إذا كان هذا الاستغلال قد حدث، باستخدام التشفير فقط."
أعادت هذه الحادثة إشعال الجدل حول مشكلة هيكلية يقول النقاد إنها تتجاوز الخطأ المحدد. على عكس البيتكوين أو الإيثيريوم، حيث يكون الاستغلال على السلسلة مرئيًا على الفور، تخلق عملات الخصوصية مثل Zcash ظروفًا قد لا يتم فيها اكتشاف الهجوم الناجح أبدًا.
غرد معلق العملات المشفرة أودي ويرتهايمر: "تُمكّن Zcash فئة فريدة من الأخطاء حيث إذا تم استغلالها، فلن يعلم أحد بذلك." "هذه الفئة الفريدة لا تزال موجودة. حقيقة أنهم أصلحوا هذا الخطأ المحدد أمر غير جوهري."
تعتبر فحوصات المنحنيات الإهليلجية غير المقيدة (Under-constrained elliptic curve checks)، وهي فئة الخلل التي تكمن في قلب هذه الثغرة، من بين نقاط الضعف الأكثر شيوعًا في دوائر ZK المستخدمة في الإنتاج، وفقًا لجو أندروز، الرئيس التنفيذي لـ Aztec Labs، وهو استوديو منتجات يركز على الخصوصية. قال أندروز إن هذا النمط ليس جديدًا على Zcash، مضيفًا أن الذكاء الاصطناعي يسرع من معدل اكتشاف مثل هذه الأخطاء عبر الصناعة.
قال أندروز لمجلة Decrypt إن الحل طويل الأمد هو التحقق الرسمي من الدائرة (formal circuit verification) جنبًا إلى جنب مع نظام إثبات ثانٍ، وهو نهج تخطط له إيثيريوم بالفعل. وقال: "يجب أن يتفق كلا النظامين ليكون انتقال الحالة صحيحًا، مما يقلل بشكل كبير من فرص استغلال الأخطاء".
كشف آرثر هايز، الرئيس التنفيذي السابق لـ BitMEX، أنه قام بتصفية كامل حصته من Zcash بعد الكشف عن الثغرة.
الخطر المباشر على الحائزين ليس التضخم على مستوى السلسلة بأكملها، بل الإفلاس المحتمل لمجمع Orchard نفسه، مما يعني أن حاملي ZEC المحمية قد يتعرضون للتخفيف إذا تنافست المطالبات المزيفة ضد المطالبات المشروعة على رصيد مجمع محدود.
The Holy Trinity is dead. Sadly due to the Orchard Pool exploit, I had to dump our entire $ZEC bag.
- While I think it's extremely unlikely of any minting, it cannot be formally cryptographically proved impossible
- The privacy from AI, govt, big tech narrative demands perfection…— Arthur Hayes (@CryptoHayes) June 5, 2026
لا يشاطر الجميع هذا القلق. جادل كريج سالم، كبير المسؤولين القانونيين في Grayscale، بأن الاستغلال قبل الإصلاح كان مستبعدًا. لكي يُعتقد أن الثغرة قد استُغلت بالفعل، قال سالم، كان على شخص ما أن يفحص قاعدة الكود بشكل أكثر شمولاً من جميع المطورين الأساسيين مجتمعين، ثم يقاوم الرغبة في استنزاف المجمع بأكمله خلال فترة صعود تاريخية. غرد قائلاً: "يبدو لي الأمر غير مرجح".
اقترحت Shielded Labs ترقية للشبكة تنشر مجمعًا محميًا جديدًا بتقنية "turnstile accounting" (محاسبة البوابة الدوارة)، مما سيسمح لأي شخص بالتحقق من سلامة عرض Zcash.
قال أندروز إن هيكل تلك الترقية، التي تتطلب إلغاء حماية جميع العملات قبل الدخول إلى المجمع الجديد، يحد بشكل فعال من المخاطر الناجمة عن أي استغلال سابق إلى المبلغ الحالي للأصول المحمية. وقال: "التحقق الرسمي من الترقية الجديدة يقلل المخاطر بشكل كبير".