Zcash (ZEC) đã mất hơn một nửa giá trị chỉ trong một ngày, giảm xuống còn 250 USD sau khi tin tức về một lỗ hổng nghiêm trọng trong mạch Orchard tập trung vào quyền riêng tư có thể cho phép kẻ tấn công đúc token giả. Lỗi này được phát hiện bởi nhà nghiên cứu bảo mật Taylor Hornby, người đã sử dụng một khung kiểm toán AI được hỗ trợ bởi Claude Opus 4.8 để tìm ra điểm yếu. Các nhà phát triển từ Phòng thí nghiệm Phát triển Mở Zcash (Zcash Open Development Lab) và các đối tác hệ sinh thái khác đã nhanh chóng tung ra bản vá khẩn cấp.
Lỗi và Quá trình Phát hiện
Lỗ hổng nằm bên trong mạch bằng chứng không tiết lộ Orchard, một phần cốt lõi của công nghệ giao dịch ẩn danh của Zcash. Nếu bị khai thác, nó sẽ cho phép kẻ tấn công tạo ra ZEC giả mà không bị phát hiện—về cơ bản là in tiền trong pool Orchard. Hornby đã tìm ra vấn đề bằng cách sử dụng một công cụ kiểm toán AI được xây dựng có mục đích, một phương pháp đánh dấu một trong những lần đầu tiên công khai sử dụng cách tiếp cận như vậy để bắt lỗi mật mã nghiêm trọng. Không rõ lỗi đã tồn tại bao lâu, và các nhà phát triển vẫn chưa thể xác định liệu có đồng xu giả nào thực sự được tạo ra trước khi bản vá được áp dụng hay không.
Sụp đổ Giá và Phục hồi
Ngay khi lỗi được công bố, ZEC đã giảm hơn 50% xuống còn 250 USD, theo dữ liệu từ CoinMarketCap. Nhưng bản sửa lỗi phối hợp—được triển khai bởi Phòng thí nghiệm Phát triển Mở Zcash (ZODL) cùng với các nhóm hệ sinh thái khác—đã nhanh chóng khôi phục niềm tin. Sau bản vá, ZEC đã phục hồi hơn 70% lên 433 USD. Sự biến động giá thất thường này phản ánh mức độ thị trường phản ứng mạnh mẽ với tin tức bảo mật trong một giao thức được xây dựng dựa trên niềm tin vào các đảm bảo mật mã của nó.
Điều gì Tiếp theo: Đề xuất Ironwood
Shielded Labs, một tổ chức phi lợi nhuận hỗ trợ Zcash, đang hợp tác với The Zcash Foundation, Tachyon Group, Valar Group và ZODL về một đề xuất có tên Ironwood. Kế hoạch này nhằm khôi phục một thứ mà lỗ hổng đã tạm thời phá vỡ: khả năng của người dùng để xác minh độc lập nguồn cung lưu thông của Zcash mà không cần dựa vào các giả định hoặc chờ đợi tiền di chuyển ra khỏi pool Orchard. Khi Ironwood được kích hoạt, bất kỳ ai chạy một nút đều có thể xác nhận rằng nguồn cung lưu thông không bị can thiệp. Đề xuất này cũng chặn bất kỳ giao dịch nào cố gắng đúc tiền mới trong pool Orchard.
Liệu Chúng Ta Có Biết Nếu Khai thác Đã Xảy Ra?
Ironwood có thể đóng vai trò như một công cụ pháp y. Nếu không có ZEC thừa nào cố gắng rời khỏi pool Orchard sau khi kích hoạt, điều đó sẽ cho thấy lỗi chưa bao giờ bị khai thác. Nhưng nếu tiền giả cố gắng thoát ra, đề xuất sẽ chặn và tiêu hủy chúng—tiết lộ rằng việc làm giả đã xảy ra. Cho đến khi Ironwood đi vào hoạt động và mạng lưới xử lý các giao dịch đó, câu hỏi này vẫn còn bỏ ngỏ. Chưa có mốc thời gian kích hoạt nào được công bố.
