Zcash وصله اضطراری برای رفع نقص 'صحت' که می‌توانست منجر به ایجاد نامحدود ZEC شود، منتشر کرد

Zcash این هفته یک به‌روزرسانی اضطراری شبکه دو مرحله‌ای را برای رفع یک آسیب‌پذیری بحرانی در استخر محافظت‌شده Orchard خود تکمیل کرد — نقصی در 'صحت' مدار اثبات دانش صفر که از نظر تئوری می‌توانست به مهاجم اجازه دهد ZEC نامحدود و غیرقابل شناسایی ایجاد کند. این باگ در ۲۹ مه توسط تیلور هورنبی، محقق امنیتی، طی یک ممیزی پروتکل سفارش‌داده‌شده توسط Shielded Labs با استفاده از مدل هوش مصنوعی Claude Opus 4.8 شرکت Anthropic کشف شد. رفع آن سریع انجام شد: یک سافت فورک در ۲ ژوئن و سپس یک هارد فورک در روز بعد.

چگونگی کشف نقص

ممیزی هورنبی یک آسیب‌پذیری را آشکار کرد که از زمان فعال‌سازی Orchard در مه ۲۰۲۲ — چهار سال پیش — در آن پنهان بود. یک اثبات مفهوم عملی نشان داد که می‌توان ZEC جعلی نامحدود را در یک محیط آزمایش محلی ضرب کرد. اما طبق مکانیزم حسابداری چرخشی داخلی Zcash، این نقص هرگز عرضه واقعی ZEC را در شبکه زنده افزایش نداد. با این حال، به دلیل ویژگی‌های حریم خصوصی تراکنش‌های محافظت‌شده، هیچ روش رمزنگاری قطعی برای اثبات عدم بهره‌برداری وجود ندارد. واکنش پروژه تهاجمی بود: Zebra 4.5.3 (سافت فورک) تراکنش‌های Orchard را در ۲ ژوئن غیرفعال کرد و Zebra 5.0.0 (هارد فورک NU6.2) نقص را برطرف و آن‌ها را در روز بعد دوباره فعال کرد.

نوسان شدید بازار

بازار ابتدا از هارد فورک استقبال کرد. ZEC در ۴ ژوئن به ۶۲۴ دلار رسید — اوج خود در آن هفته. سپس اوضاع بد شد. آرتور هیز اعلام کرد که در همان روز ۴ ژوئن کل موقعیت ZEC خود را فروخته است و قیمت حدود ۵۰٪ سقوط کرد و به ۳۰۹ دلار در ۶ ژوئن رسید و بیش از ۳ میلیارد دلار از ارزش بازار را از بین برد. ZEC از آن زمان کمی بهبود یافته و پس از تأیید جاش سویهارت، مدیرعامل Electric Coin Company، در ۷ ژوئن مبنی بر کامل بودن رفع نقص و امن بودن شبکه، در حدود ۴۳۰ دلار معامله می‌شود.

این باگ یک مسئله بزرگ بود زیرا به هسته اصلی وعده Zcash ضربه می‌زد: اینکه تراکنش‌های محافظت‌شده خصوصی و صحیح هستند. اگر مهاجمی می‌توانست بی‌صدا ZEC چاپ کند، کل روایت حریم خصوصی مسموم می‌شد. سرعت واکنش — دو فورک در دو روز — نشان می‌دهد که تیم می‌دانست چقدر می‌توانست بد باشد. بیانیه سویهارت در ۷ ژوئن با هدف اطمینان‌بخشی به کاربران مبنی بر امن بودن شبکه در حال حاضر بود، اما عدم قطعیت در مورد اینکه آیا کسی هرگز از این نقص بهره‌برداری کرده است، همچنان یک سوال آزاردهنده باقی می‌ماند. دفاعیات خود Zcash هیچ ایجاد ارزش غیرمجازی را شناسایی نکرد، اما حریم خصوصی به این معنی است که نمی‌توانید همه چیز را ببینید.

بعد چه می‌شود؟ وصله فعال است، به‌روزرسانی‌ها انجام شده است. اما مراقب هرگونه افشای بیشتر از Shielded Labs در مورد یافته‌های ممیزی باشید و به قیمت ZEC توجه کنید زیرا معامله‌گران در حال ارزیابی این هستند که آیا اعتماد واقعاً بازگشته است. آسیب‌پذیری به مدت چهار سال وجود داشت. رفع آن یک هفته طول کشید.