מפתחי Zcash מיהרו לפרוס תיקוני חירום בשבוע שעבר לאחר גילוי פרצה קריטית בבריכת Orchard המוגנת, שיכלה לאפשר לתוקף ליצור ZEC מזויף בכמויות בלתי מוגבלות. הבאג נמצא על ידי חוקר האבטחה טיילור הורנבי ב-29 במאי באמצעות שיטות פורמליות מבוססות בינה מלאכותית, והצית תרגיל כיבוי אש שהסתיים בהתפצלות קשה כארבעה ימים בלבד לאחר מכן. אך בשל ארכיטקטורת הפרטיות של Zcash, שהופכת ביקורת על ההיצע לבלתי אפשרית, הצוות אינו יכול להוכיח שהפרצה נוצלה — או שלא.
הבאג וכיצד התגלה
הפגם היה באלמנט מוגבל-מחסור בתוך גאדג'ט הכפל על עקומה אליפטית באריזת halo2_gadgets, חלק ממערכת ההוכחה באפס-ידע המניעה את Orchard. הוא היה שם מאז הפעלת הרשת הראשית של Orchard במאי 2022 — כארבע שנים. המשמעות שכל מי שידע עליו יכול, בתיאוריה, לטבוע ZEC יש מאין מבלי להשאיר עקבות על השרשרת.
הורנבי מצא את הבעיה באמצעות כלי אימות פורמליים שאומנו על קוד קריפטוגרפי. הפגיעות השפיעה על כל גרסאות halo2_gadgets לפני v0.5.0, orchard לפני v0.14.0, ו-zcashd בגרסאות v5.0.0 עד v6.12.3.
תיקוני חירום נפרסו
בתוך שעות מהחשיפה, הצוות דחף התפצלות רכה דרך Zebra 4.5.3 שהשביתה זמנית את כל עסקאות Orchard. תיקון קבוע הגיע עם ההתפצלות הקשה NU6.2 — Zebra 5.0 — שהופעלה ב-2 ביוני בגוש 3,364,600 ותיקנה את המעגל עצמו. משתמשים בצמתים מושפעים נדרשו לשדרג מיד כדי להישאר בשרשרת הנכונה.
Shielded Labs, התורמת לפיתוח Zcash, מסרה בהודעה כי הם מאמינים שניצול קודם אינו סביר אך אינם יכולים להוכיח זאת באופן חד-משמעי. אי-הוודאות הזו מובנית בעיצוב המערכת: בריכות מוגנות מסתירות סכומי עסקאות ויתרות, מה שהופך את ביקורת ההיצע הכולל לבלתי אפשרית מבחינה קריפטוגרפית.
השאלה שאין עליה תשובה
מנהל הטכנולוגיה של Ripple, דייוויד שוורץ, התייחס לסיכון המעשי. מחזיקים פסיביים שלעולם לא מזיזים את המטבעות שלהם יהיו בטוחים, לדבריו — בהנחה שהבאג מעולם לא הופעל. אבל לא ניתן לאמת תנאי זה. הדרך היחידה להיות בטוחים היא לפגוע במגן שבנה Zcash כדי להגן עליו.
זהו רגע נדיר שבו תכונת הליבה של מטבע פרטיות הופכת לחבות הגדולה ביותר שלו. אם תוקף טיבע ZEC מזויף והחליק אותו למחזור, אין דרך לדעת. ההיצע עשוי להיות מנופח ואיש לא ידע.
תגובת השוק
Zcash לא חיכה לתשובות. המחיר צנח ביותר מ-30% במושב מסחר בודד לאחר החשיפה ב-29 במאי, והגיע לרמתו הנמוכה ביותר מזה למעלה מחודש. המימוש שיקף לא רק את הבאג עצמו אלא גם את אי-הוודאות סביב השפעתו הפוטנציאלית. מטבע פרטיות שאינו יכול לאמת את היצע שלו הוא קשה למכירה, לפחות בטווח הקצר.
התיקונים חיים כעת, ועסקאות Orchard חזרו לפעול. אבל השאלה שנותרה — האם הבאג נוצל אי פעם? — היא שאלה שארכיטקטורת Zcash עשויה לעולם לא לאפשר לאף אחד לענות עליה.
