Zcash ดำเนินการอัปเกรดเครือข่ายฉุกเฉินสองเฟสในสัปดาห์นี้เพื่อแก้ไขช่องโหว่ร้ายแรงใน Orchard shielded pool ซึ่งเป็นข้อบกพร่องด้าน 'soundness' ในวงจร zero-knowledge proof ที่ในทางทฤษฎีอาจทำให้ผู้โจมตีสามารถสร้าง ZEC ที่ตรวจไม่พบได้ไม่จำกัด ข้อบกพร่องนี้ถูกค้นพบเมื่อวันที่ 29 พฤษภาคมโดยนักวิจัยด้านความปลอดภัย Taylor Hornby ระหว่างการตรวจสอบโปรโตคอลที่ได้รับมอบหมายจาก Shielded Labs โดยใช้โมเดล AI Claude Opus 4.8 ของ Anthropic การแก้ไขมาเร็ว: soft fork ในวันที่ 2 มิถุนายน ตามด้วย hard fork ในวันถัดไป
พบช่องโหว่ได้อย่างไร
การตรวจสอบของ Hornby พบข้อบกพร่องที่ซ่อนอยู่ใน Orchard ตั้งแต่เปิดใช้งานในเดือนพฤษภาคม 2022 ซึ่งเป็นเวลาสี่ปีที่แล้ว การพิสูจน์แนวคิดที่ใช้งานได้แสดงให้เห็นว่าสามารถสร้าง ZEC ปลอมได้ไม่จำกัดในสภาพแวดล้อมการทดสอบในเครื่อง แต่ข้อบกพร่องนี้ไม่เคยทำให้อุปทาน ZEC จริงในเครือข่ายจริงเพิ่มขึ้น ตามกลไกการบัญชี turnstile ภายในของ Zcash อย่างไรก็ตาม เนื่องจากคุณสมบัติความเป็นส่วนตัวของธุรกรรมแบบ shielded จึงไม่มีวิธีเข้ารหัสที่แน่ชัดในการพิสูจน์ว่าไม่เคยมีการใช้ประโยชน์จากช่องโหว่ การตอบสนองของโครงการนั้นรุนแรง: Zebra 4.5.3 (soft fork) ปิดการทำธุรกรรม Orchard ในวันที่ 2 มิถุนายน และ Zebra 5.0.0 (hard fork NU6.2) แก้ไขข้อบกพร่องและเปิดใช้งานอีกครั้งในวันถัดไป
ความผันผวนของตลาด
ตลาดเริ่มแรกตอบรับ hard fork ในเชิงบวก ZEC พุ่งขึ้นไปที่ 624 ดอลลาร์ในวันที่ 4 มิถุนายน ซึ่งเป็นจุดสูงสุดของสัปดาห์ จากนั้นสถานการณ์ก็แย่ลง Arthur Hayes เปิดเผยว่าเขาออกจากสถานะ ZEC ทั้งหมดภายในวันที่ 4 มิถุนายน และราคาร่วงลงประมาณ 50% เหลือ 309 ดอลลาร์ในวันที่ 5 มิถุนายน ทำให้มูลค่าตลาดหายไปกว่า 3 พันล้านดอลลาร์ ZEC ฟื้นตัวขึ้นบ้างแล้ว โดยซื้อขายอยู่ที่ประมาณ 430 ดอลลาร์หลังจาก Josh Swihart ซีอีโอของ Electric Coin Company ยืนยันในวันที่ 7 มิถุนายนว่าการแก้ไขเสร็จสมบูรณ์และเครือข่ายปลอดภัย
ข้อบกพร่องนี้เป็นเรื่องใหญ่เพราะมันกระทบต่อคำมั่นสัญญาหลักของ Zcash: ว่าธุรกรรมแบบ shielded เป็นส่วนตัวและถูกต้อง หากผู้โจมตีสามารถพิมพ์ ZEC อย่างเงียบ ๆ ได้ เรื่องราวความเป็นส่วนตัวทั้งหมดก็จะถูกทำลาย ความเร็วในการตอบสนอง — สอง fork ในสองวัน — บ่งบอกว่าทีมงานรู้ว่ามันเลวร้ายแค่ไหน คำแถลงของ Swihart ในวันที่ 7 มิถุนายนมีเป้าหมายเพื่อสร้างความมั่นใจให้ผู้ใช้ว่าเครือข่ายปลอดภัยแล้ว แต่ความไม่แน่นอนว่ามีใครเคยใช้ประโยชน์จากช่องโหว่หรือไม่ยังคงเป็นคำถามที่ค้างคา การป้องกันของ Zcash เองไม่พบการสร้างมูลค่าที่ไม่ได้รับอนุญาต แต่ความเป็นส่วนตัวหมายความว่าคุณไม่สามารถมองเห็นทุกสิ่งได้
อะไรจะเกิดขึ้นต่อไป? แพตช์ใช้งานได้แล้ว การอัปเกรดเสร็จสิ้น แต่จับตาดูการเปิดเผยเพิ่มเติมจาก Shielded Labs เกี่ยวกับผลการตรวจสอบ และจับตาราคา ZEC ในขณะที่เทรดเดอร์ประเมินว่าความเชื่อมั่นกลับมาจริงหรือไม่ ช่องโหว่นี้มีอยู่เป็นเวลาสี่ปี การแก้ไขใช้เวลาหนึ่งสัปดาห์
