Badacz bezpieczeństwa odkrył krytyczną lukę w puli transakcji Orchard Zcash, którą można było wykorzystać do stworzenia „nieograniczonej” liczby fałszywych tokenów w puli.
Shielded Labs, niezależna organizacja wspierająca Zcash, opublikowała te odkrycia w czwartek na platformie mediów społecznościowych X. Poinformowano, że w kwietniu zatrudniła inżyniera bezpieczeństwa Taylora Hornby’ego do przeprowadzenia przeglądu protokołu.
Ogłoszenie zbiegło się w czasie ze znacznym spadkiem ceny Zcash (ZEC). Według strony The Block z cenami ZEC, w ciągu ostatnich 24 godzin spadła ona o 31% do 409,64 USD o godzinie 23:00 ET w czwartek. Znaczna część spadku nastąpiła w ciągu pięciu godzin po publikacji wpisu.
Hornby, długoletni współpracownik ekosystemu Zcash, ocenił protokół, wykorzystując zarówno techniki badawcze wspomagane sztuczną inteligencją, jak i tradycyjne metody badawcze w zakresie bezpieczeństwa, aby zidentyfikować luki, zanim zostaną wykorzystane przez złośliwych aktorów, zgodnie z wpisem.
29 maja Hornby odkrył lukę w obwodzie Orchard, używając nowo wydanego modelu Opus 4.8 firmy Anthropic i natychmiast podzielił się swoimi odkryciami z inżynierami z Zcash Open Development Lab (ZODL).
Pula Orchard to ukryta pula transakcji Zcash, umożliwiająca użytkownikom wysyłanie i odbieranie ZEC z pełną prywatnością opartą na zerowej wiedzy. Obwód Orchard to system dowodów z zerową wiedzą, który zapewnia, że do puli akceptowane są tylko ważne transakcje.
„Luka była prawdziwa i możliwa do wykorzystania” – napisało Shielded Labs. „Taylor, z pomocą Opus 4.8, napisał kompletny exploit, który, gdy przetestował go w lokalnym środowisku regtest, wygenerował nieograniczone, niewykrywalne fałszywe ZEC”.
W poście wyjaśniono, że luka wynikała z „niedostatecznie ograniczonego” elementu obwodu Orchard, co umożliwiało wprowadzanie dowolnych fałszywych danych wejściowych do mnożenia na krzywej eliptycznej i nadal uzyskiwanie ich zatwierdzenia.
Chociaż luka została załatana 1 czerwca, istniała od aktywacji Orchard w maju 2022 roku, jak podało Shielded Labs.
Shielded Labs napisało w swoim poście, że właściwości prywatności Orchard i charakter luki utrudniają ustalenie, czy pula została wykorzystana przed odkryciem błędu.
Pomimo niepewności, Shielded Labs stwierdziło, że zespół nie jest „zbytnio zaniepokojony” tym, że fałszerstwo miało miejsce przed naprawieniem błędu, ponieważ luka pozostawała niezauważona przez wiele lat, nawet pod nadzorem najlepszych kryptografów na świecie.
„Odkrycie nie było przypadkowe – było wynikiem celowego wysiłku mającego na celu zidentyfikowanie tego rodzaju luk, zanim złośliwi aktorzy mogliby to zrobić” – napisano w poście. „[Hornby] użył najnowszych narzędzi AI, dostępnych tylko dla etycznych badaczy bezpieczeństwa, wraz z wyrafinowanym, niestandardowym narzędziem AI i instrukcjami, i ciężko pracował, aby wyprzedzić atakujących. Uważamy, że prawdopodobnie mu się udało”.
Chociaż Shielded Labs stwierdziło, że faktyczne wykorzystanie tej luki jest mało prawdopodobne, jego zespół bada proponowaną aktualizację sieci, aby umożliwić każdemu weryfikację integralności podaży Zcash i udowodnienie, że w puli Orchard nie ma fałszywych Zcash. Propozycja obejmowałaby również wdrożenie nowej ukrytej puli i egzekwowanie księgowości typu „turnstile” dla wszystkich monet w puli Orchard.
„Była to poważna luka i uważamy, że ważne jest, aby być przejrzystym w kwestii tego, co oznacza ona dla użytkowników Zcash” – napisano w poście. „Chociaż nikt nie chce odkrywać takiej luki, jesteśmy pewni, że Zcash jest dobrze przygotowany do odzyskania pozycji”.
Zastrzeżenie: The Block jest niezależnym medium, które dostarcza wiadomości, badania i dane. Od listopada 2023 roku Foresight Ventures jest większościowym inwestorem The Block. Foresight Ventures inwestuje w inne firmy w przestrzeni kryptowalutowej. Giełda kryptowalut Bitget jest głównym LP dla Foresight Ventures. The Block nadal działa niezależnie, aby dostarczać obiektywne, wpływowe i aktualne informacje o branży kryptowalut. Oto nasze aktualne ujawnienia finansowe.
© 2026 The Block. Wszelkie prawa zastrzeżone. Niniejszy artykuł ma wyłącznie charakter informacyjny. Nie jest oferowany ani przeznaczony do wykorzystania jako porada prawna, podatkowa, inwestycyjna, finansowa ani żadna inna.
