A Zcash ezen a héten egy kétfázisú vészhelyzeti hálózati frissítést hajtott végre, hogy kijavítson egy kritikus sebezhetőséget az Orchard védett pooljában – egy 'szilárdsági' hibát a nulla-ismeretű bizonyítási áramkörben, amely elméletileg lehetővé tette volna egy támadó számára, hogy korlátlan mennyiségű, észrevehetetlen ZEC-t hozzon létre. A hibát május 29-én fedezte fel Taylor Hornby biztonsági kutató a Shielded Labs által megrendelt protokollaudit során, az Anthropic Claude Opus 4.8 AI modelljét használva. A javítás gyorsan érkezett: egy soft fork június 2-án, majd egy hard fork másnap.
Hogyan találták meg a hibát
Hornby auditja feltárt egy sebezhetőséget, amely az Orchardban rejtőzött a 2022 májusi aktiválása óta – négy éve. Egy működő proof-of-concept azt mutatta, hogy korlátlan mennyiségű hamis ZEC verhető egy helyi tesztkörnyezetben. A hiba azonban soha nem növelte a valós ZEC-kínálatot az élő hálózaton a Zcash forgókapu elszámolási mechanizmusa szerint. Ennek ellenére a védett tranzakciók adatvédelmi tulajdonságai miatt nincs kriptográfiailag bizonyítható mód annak igazolására, hogy soha nem történt kihasználás. A projekt válasza agresszív volt: a Zebra 4.5.3 (soft fork) június 2-án letiltotta az Orchard-tranzakciókat, a Zebra 5.0.0 (hard fork NU6.2) pedig másnap kijavította a hibát és újra engedélyezte azokat.
Piaci hullámvasút
A piac kezdetben üdvözölte a hard forkot. A ZEC árfolyama június 4-én 624 dollárra ugrott, majd drámaian visszaesett, amikor Arthur Hayes felfedte, hogy június 4-én a nap folyamán kiszállt a teljes ZEC-pozíciójából. Az ár körülbelül 50%-ot zuhant, június 5-én 309 dollárra, ami több mint 3 milliárd dolláros piaci kapitalizáció-vesztést jelentett. A ZEC azóta némileg helyreállt, és 430 dollár körül kereskednek vele, miután az Electric Coin Company vezérigazgatója, Josh Swihart június 7-én megerősítette, hogy a javítás befejeződött és a hálózat biztonságos.
A hiba azért volt nagy ügy, mert a Zcash alapvető ígéretét érintette: hogy a védett tranzakciók privátak és szilárdak. Ha egy támadó csendben ZEC-t nyomtathatott volna, az egész adatvédelmi narratíva megmérgeződött volna. A válasz gyorsasága – két fork két nap alatt – arra utal, hogy a csapat tudta, milyen rossz lehet a helyzet. Swihart június 7-i nyilatkozata az volt hivatott megnyugtatni a felhasználókat, hogy a hálózat most biztonságos, de a bizonytalanság, hogy valaha is kihasználták-e a hibát, továbbra is kísértő kérdés marad. A Zcash saját védelmi rendszerei nem észleltek jogosulatlan értékteremtést, de az adatvédelem azt jelenti, hogy nem láthat mindent.
Mi következik? A javítás élő, a frissítések befejeződtek. De figyeljük a Shielded Labs további közzétételeit az audit eredményeiről, és tartsuk szemmel a ZEC árát, ahogy a kereskedők emésztik, hogy a bizalom valóban visszatért-e. A sebezhetőség négy évig volt jelen. A javítás egy hétig tartott.
