Zcashの開発者らは先週、Orchard shieldedプールに重大な脆弱性が発見されたことを受け、緊急パッチを急遽展開した。この脆弱性は、攻撃者に無制限の偽造ZECを生成させる可能性があった。バグは5月29日、セキュリティ研究者のTaylor Hornby氏がAI支援形式手法を用いて発見。わずか4日後にはハードフォークに至る緊急対応が引き起こされた。しかし、Zcashのプライバシーアーキテクチャは供給量の監査を不可能にするため、チームはこの脆弱性が悪用されたかどうか、あるいは悪用されなかったことを証明できない。
バグとその発見
問題は、Orchardを支えるゼロ知識証明システムの一部であるhalo2_gadgetsクレート内の楕円曲線乗算ガジェットにおける、制約不足の要素に存在していた。これは2022年5月のOrchardメインネット有効化以来、約4年間にわたって存在していた。つまり、これを知る者は誰でも、理論上、オンチェーンに痕跡を残さずにZECを無から鋳造できた。
Hornby氏は、暗号コードを学習した形式検証ツールを用いてこの問題を発見した。この脆弱性は、halo2_gadgetsのv0.5.0未満全バージョン、orchardのv0.14.0未満全バージョン、およびzcashdのv5.0.0からv6.12.3までのバージョンに影響を与えた。
緊急パッチの展開
開示から数時間以内に、チームはZebra 4.5.3を介してソフトフォークをプッシュし、Orchardトランザクションを一時的に完全無効化した。恒久的な修正は、NU6.2ハードフォーク(Zebra 5.0)によってもたらされた。これは6月2日、ブロック3,364,600で有効化され、回路自体を修正した。影響を受けるノード上のユーザーは、正しいチェーンに留まるために直ちにアップグレードする必要があった。
Zcashの開発に貢献するShielded Labsは声明で、事前の悪用は可能性が低いと考えるが、それを決定的に証明することはできないと述べた。この不確実性はシステム設計に組み込まれている。shieldedプールはトランザクション額と残高を隠すため、総供給量の監査を暗号的に不可能にしている。
答えられない疑問
RippleのCTOであるDavid Schwartz氏は、実用的リスクについて見解を示した。彼によれば、コインを移動しないパッシブホルダーは安全である——ただし、バグが決してトリガーされなかった場合に限る。しかし、その条件は検証できない。確実に確かめる唯一の方法は、Zcashが守るために作られたシールドを侵害することだ。
プライバシーコインの核心機能が最大の負債となる稀な瞬間である。もし攻撃者が偽造ZECを鋳造し、流通に紛れ込ませたなら、それを知る手段はない。供給量が膨らんでいても、誰も気づかないだろう。
市場の反応
ZECは答えを待たなかった。5月29日の開示後、価格は1セッションで30%以上下落し、一時的に1カ月以上の最低値を記録した。この売却はバグ自体だけでなく、その潜在的影響に対する不確実性を反映していた。自身の供給量を検証できないプライバシーコインは、少なくとも短期的には売りにくい。
パッチは現在有効であり、Orchardトランザクションは再び利用可能になっている。しかし、残された疑問——バグは悪用されたのか?——は、Zcashのアーキテクチャが誰にも答えを許さないかもしれない。
