Исследователь по безопасности Тейлор Хорнби обнаружил критическую уязвимость в приватном пуле Orchard в Zcash 29 мая, которая могла чеканить неограниченное количество поддельных монет ZEC. О раскрытии стало известно, и в течение 24 часов цена ZEC упала более чем на 40%, пока держатели оценивали, попали ли фейковые монеты в защищённый пул. Дефект оставался незамеченным с момента запуска Orchard в мае 2022 года, пережив несколько проверок безопасности, прежде чем Хорнби приватно сообщил о нём основателю Zcash Зуку Уилкоксу, что привело к срочному патчу, развернутому 2 июня.
Тейлор Хорнби обнаруживает проблему с подделкой в Orchard 29 мая
Основатель Zcash Зукко Уилкокс подтвердил, что Тейлор Хорнби обнаружил уязвимость для подделки в Orchard и 29 мая приватно раскрыл её ему. Баг мог создавать неотслеживаемые поддельные монеты ZEC, которые сеть принимала бы как подлинные, при этом мошенничество оставалось бы невидимым внутри защищённого пула. Хорнби разработал полный эксплойт при помощи модели искусственного интеллекта и сгенерировал неограниченное число поддельных ZEC в локальном тестировании.
Разработчики сообщили, что уязвимость присутствовала с момента запуска пула Orchard в мае 2022 года. Баг около четырёх лет оставался незамеченным и пережил повторные аудиты специалистов, которые так и не обнаружили его. Поскольку Orchard — полностью защищённая система, нет криптографического способа доказать, что баг ни разу не использовали во вред. Те же гарантии приватности, которые делают Zcash привлекательным для конфиденциальных транзакций, не позволяют проводить аудит защищённого предложения на предмет поддельных монет, отчеканенных до того, как патч был внедрён.
Лаборатория открытой разработки Zcash выпускает экстренный патч 2 июня
Хорнби сообщил о проблеме в Zcash Open Development Lab, которая координировала экстренное реагирование по кошелькам, биржам и операторам нод перед выпуском исправления 2 июня. В подробном посте на форуме сообщества Zcash команда пошла по шагам через уязвимость и описала дальнейшие шаги, включая предложения по усилению проверки предложения.
Несмотря на серьёзность ситуации, разработчики призвали сохранять спокойствие: Shielded Labs заявила, что не была «слишком обеспокоена» тем, что подделка действительно произошла. Аргументация заключалась в том, что баг пережил годы проверки одних из самых способных криптографов в мире — его не нашли и не эксплуатировали.
Цена ZEC падает на 40% после раскрытия уязвимости
ZEC потерял примерно 40% своей стоимости в течение 24 часов после раскрытия. Токен ранее в цикле взлетел выше $600; в какой-то момент он обошёл monero по капитализации, но раскрытие по Orchard уничтожило часть этих прибылей.
Для держателей непосредственная цена выразилась в падении котировок: ZEC «развернул» заметную долю ралли, сделавшего его одним из лучших по динамике криптоактивов года. Раскрытие происходило на фоне роста спроса на токены приватности в период глобального сопротивления финансовому надзору, и ZEC был среди заметных победителей. Также рос институциональный интерес: Grayscale продвигается к регулируемому продукту на базе ZEC.
FAQ
Какую уязвимость Тейлор Хорнби обнаружил в Zcash 29 мая?
Тейлор Хорнби обнаружил уязвимость для подделки в приватном пуле Orchard в Zcash 29 мая, которая могла чеканить неограниченное количество поддельных монет ZEC. Баг мог создавать неотслеживаемые фейковые монеты, которые сеть принимала бы как подлинные, при этом мошенничество оставалось бы невидимым внутри защищённого пула. Хорнби разработал полный эксплойт при помощи модели искусственного интеллекта и сгенерировал неограниченное число поддельных ZEC в локальном тестировании.
Как разработчики Zcash отреагировали на баг в Orchard?
Zcash Open Development Lab координировала экстренное реагирование по кошелькам, биржам и операторам нод после того, как Тейлор Хорнби сообщил о проблеме. Разработчики выпустили исправление 2 июня и опубликовали подробное объяснение на форуме сообщества Zcash. Команда изложила предложения по усилению проверки предложения и призвала сохранять спокойствие, заявив, что они не были «слишком обеспокоены» тем, что подделка действительно произошла, потому что баг пережил годы проверки со стороны способных криптографов без того, чтобы его эксплуатировали.
Почему цена ZEC упала более чем на 40% после раскрытия уязвимости?
ZEC снизился более чем на 40% в течение 24 часов, пока держатели оценивали, попали ли фейковые монеты в защищённый пул до выхода патча. Поскольку Orchard — полностью защищённая система, нет криптографического способа доказать, что баг ни разу не использовали во вред. Те же гарантии приватности, которые делают Zcash привлекательным для конфиденциальных транзакций, не позволяют провести аудит защищённого предложения на предмет поддельных монет, отчеканенных до того, как патч от 2 июня был внедрён.
