Zcash (ZEC), ориентированная на приватность криптовалюта, 4 июня раскрыла критическую уязвимость, которая могла позволить неограниченное создание фальшивых монет в зоне конфиденциальных транзакций Orchard Pool. Исследователь безопасности Тейлор Хорнби обнаружил проблему 29 мая с помощью ИИ-модели Opus 4.8 от Anthropic во время аудита кода Orchard Circuit. Уязвимость возникла из-за недостаточных условий ограничений в процессе проверки операций над эллиптическими кривыми, из-за чего валидация могла пройти даже при неверных значениях входных данных. Основатель Zcash Зуко Уилкокс сообщил через X, что экстренные патчи развернуты по всей экосистеме, сославшись на отчет компании Shielded Labs. Проблема существовала с момента активации Orchard Pool в мае 2022 года и оставалась незамеченной четыре года, несмотря на проверки ведущими криптографами.
Тейлор Хорнби обнаруживает уязвимость с помощью ИИ-модели Anthropic Opus 4.8
Тейлор Хорнби выявил уязвимость 29 мая при изучении Orchard Circuit с использованием последней ИИ-модели Opus 4.8 от Anthropic. Открытие произошло в ходе планового аудита безопасности инфраструктуры конфиденциальных транзакций Zcash. Зуко Уилкокс сослался на выводы Хорнби в посте в X от 4 июня, где был включен отчет Shielded Labs с описанием технической природы проблемы.
Ошибка в проверке операций над эллиптическими кривыми позволяла создавать неограниченное количество ZEC
Согласно отчету Shielded Labs, уязвимость возникла из-за недостаточных условий ограничений в процессе проверки операций над эллиптическими кривыми внутри Orchard Circuit. Эта слабость позволяла злоумышленникам использовать неверные значения входных данных, которые при этом все равно проходили бы проверки валидации, теоретически давая возможность создавать неограниченные фальшивые токены ZEC. Проблема затрагивала именно Orchard Pool — зону конфиденциальных транзакций Zcash, предназначенную для сокрытия деталей транзакций от публичного просмотра.
Shielded Labs завершает развертывание экстренного патча
Зуко Уилкокс заявил, что меры экстренного реагирования устранили уязвимость и что патчи завершены по всей экосистеме. Уязвимость существовала с мая 2022 года, когда был активирован Orchard Pool, до момента ее обнаружения 29 мая. Shielded Labs отметила, что криптографически доказать, была ли уязвимость действительно использована в течение этого четырехлетнего периода, невозможно. В отчете говорится, что не существует способа подтвердить, происходило ли фальсифицирование до патча, однако вероятность предыдущей эксплуатации считается низкой, учитывая, что дефект избегал обнаружения со стороны криптографов мирового уровня в течение многих лет и был выявлен лишь благодаря передовым исследованиям безопасности на базе ИИ.
Shielded Labs обсуждает внедрение Turnstile Accounting
Shielded Labs обсуждает внедрение нового конфиденциального пула и применение Turnstile Accounting к активам существующего Orchard Pool. Компания заявила, что такой подход позволит любому проверить целостность общего предложения Zcash и подтвердить, существуют ли фальшивые монеты внутри Orchard Pool.
Цена ZEC падает на 17,04% до $447 после раскрытия
По состоянию на 5 июня ZEC торговался по $447 (примерно 687 200 вон Южной Кореи) по данным CoinGecko. Это означало снижение на 17,04% за 24 часа после раскрытия уязвимости.
FAQ
Как исследователи обнаружили уязвимость Zcash?
Тейлор Хорнби обнаружил уязвимость 29 мая с помощью ИИ-модели Anthropic Opus 4.8 при аудите кода Orchard Circuit. ИИ-ассистированный анализ выявил недостаточные условия ограничений в процессе проверки операций над эллиптическими кривыми, которые четыре года ускользали от обнаружения ведущими криптографами.
Может ли кто-то подтвердить, что уязвимость была использована до патча?
Shielded Labs заявила, что криптографически доказать, была ли уязвимость действительно использована в течение четырехлетнего периода с мая 2022 по 29 мая, невозможно. В отчете отмечено, что хотя нет метода для проверки, вероятность предыдущей эксплуатации считается низкой из-за сложности уязвимости и продвинутых ИИ-инструментов, необходимых для ее обнаружения.
Какие меры Zcash внедряет, чтобы предотвратить будущие случаи фальсифицирования?
Shielded Labs обсуждает внедрение нового конфиденциального пула и применение Turnstile Accounting к активам существующего Orchard Pool. Компания заявила, что такой подход позволит любому проверить целостность общего предложения Zcash и подтвердить, существуют ли фальшивые монеты внутри Orchard Pool.
