Nhà nghiên cứu bảo mật Taylor Hornby phát hiện một lỗ hổng nghiêm trọng trong pool quyền riêng tư Orchard của Zcash vào ngày 29/5, có thể tạo ra vô hạn các đồng ZEC giả mạo. Việc công bố đã khiến giá ZEC giảm hơn 40% trong 24 giờ, khi người nắm giữ cân nhắc liệu đồng giả có được đưa vào pool được che chắn hay không. Lỗ hổng đã tồn tại âm thầm kể từ khi Orchard ra mắt vào tháng 5/2022, vượt qua nhiều đợt kiểm toán an ninh trước khi Hornby tiết lộ riêng cho người sáng lập Zcash là Zooko Wilcox, từ đó thúc đẩy một bản vá khẩn cấp được triển khai vào ngày 2/6.
Taylor Hornby Phát Hiện Lỗ Hổng Tạo Tiền Giả trong Orchard vào ngày 29/5
Người sáng lập Zcash Zooko Wilcox xác nhận rằng Taylor Hornby đã phát hiện một lỗ hổng tạo tiền giả trong Orchard và tiết lộ riêng cho ông vào ngày 29/5. Lỗi này có thể tạo ra các đồng ZEC giả mạo không thể phát hiện, mà mạng sẽ chấp nhận là thật trong khi hành vi gian lận vẫn bị che giấu bên trong pool được che chắn. Hornby đã xây dựng một bộ khai thác hoàn chỉnh với sự trợ giúp của một mô hình trí tuệ nhân tạo và tạo ra số lượng vô hạn ZEC giả mạo trong thử nghiệm cục bộ.
Các nhà phát triển cho biết lỗi đã tồn tại từ khi pool Orchard ra mắt vào tháng 5/2022. Lỗi này không bị phát hiện trong khoảng bốn năm và vượt qua nhiều lần kiểm toán lặp lại của các chuyên gia, những người chưa từng phát hiện ra. Do Orchard là một hệ thống được che chắn hoàn toàn, không có cách nào về mật mã để chứng minh rằng lỗi chưa từng bị lạm dụng. Những đảm bảo quyền riêng tư tương tự giúp Zcash trở nên hấp dẫn cho các giao dịch kín lại khiến việc kiểm toán nguồn cung được che chắn đối với các đồng giả mạo được đúc trước khi bản vá được triển khai là không thể.
Phòng Thí Nghiệm Phát Triển Mở của Zcash Triển Khai Bản Vá Khẩn Cấp vào ngày 2/6
Hornby đã báo cáo vấn đề này cho Zcash Open Development Lab, đơn vị đã phối hợp phản ứng khẩn cấp trên các ví, sàn giao dịch và nhà vận hành node trước khi phát hành bản sửa lỗi vào ngày 2/6. Trong một bài đăng chi tiết trên diễn đàn cộng đồng Zcash, nhóm đã phân tích cách thức lỗ hổng hoạt động và vạch ra các bước tiếp theo, bao gồm các đề xuất để tăng cường xác minh nguồn cung.
Dù mức độ nghiêm trọng là lớn, các nhà phát triển vẫn kêu gọi bình tĩnh với Shielded Labs, cho rằng họ không “quá lo lắng” rằng việc tạo tiền giả đã thực sự xảy ra. Lý do là lỗi đã sống sót qua nhiều năm rà soát bởi một số nhà mật mã tài năng nhất thế giới mà không bị phát hiện hay bị khai thác.
Giá ZEC Giảm 40% Sau Khi Công Bố Lỗ Hổng
ZEC đã mất đi khoảng 40% giá trị trong vòng 24 giờ sau khi công bố. Token này từng tăng vọt lên trên 600 USD trong giai đoạn trước đó, tại một thời điểm đã vượt monero theo vốn hóa thị trường, trước khi thông tin về Orchard khiến một phần các mức tăng đó bị xóa sổ.
Đối với người nắm giữ, chi phí ngay lập tức là giá, khi ZEC “hạ nhiệt” một phần đáng kể của đợt tăng trưởng đã khiến nó trở thành một trong những tài sản crypto hoạt động tốt nhất trong năm. Việc công bố diễn ra trong bối cảnh các token về quyền riêng tư đang bùng lên nhờ phản ứng toàn cầu chống lại giám sát tài chính, và ZEC là một trong những gương mặt nổi bật. Nhu cầu từ tổ chức cũng đang tăng lên, với Grayscale tiến tới một sản phẩm ZEC được quản lý.
FAQ
Taylor Hornby đã phát hiện lỗ hổng nào trong Zcash vào ngày 29/5?
Taylor Hornby phát hiện một lỗ hổng tạo tiền giả trong pool quyền riêng tư Orchard của Zcash vào ngày 29/5, có thể tạo ra vô hạn các đồng ZEC giả mạo. Lỗi này có thể tạo ra các đồng giả không thể phát hiện, mà mạng sẽ chấp nhận là thật trong khi hành vi gian lận vẫn bị che giấu bên trong pool được che chắn. Hornby đã xây dựng một bộ khai thác hoàn chỉnh với sự trợ giúp của một mô hình trí tuệ nhân tạo và tạo ra số lượng vô hạn ZEC giả mạo trong thử nghiệm cục bộ.
Các nhà phát triển Zcash đã phản hồi thế nào đối với lỗi Orchard?
Zcash Open Development Lab đã phối hợp một phản ứng khẩn cấp trên các ví, sàn giao dịch và nhà vận hành node sau khi Taylor Hornby báo cáo vấn đề này. Các nhà phát triển đã triển khai bản sửa lỗi vào ngày 2/6 và đăng lời giải thích chi tiết trên diễn đàn cộng đồng Zcash. Nhóm đã nêu các đề xuất để tăng cường xác minh nguồn cung và kêu gọi bình tĩnh, nêu rằng họ không “quá lo lắng” về việc tạo tiền giả đã thực sự xảy ra vì lỗi đã tồn tại qua nhiều năm rà soát bởi các nhà mật mã có năng lực mà không bị khai thác.
Vì sao giá ZEC giảm hơn 40% sau khi công bố lỗ hổng?
ZEC giảm hơn 40% trong 24 giờ khi người nắm giữ cân nhắc liệu đồng giả có được đưa vào pool được che chắn trước khi bản vá được triển khai hay không. Do Orchard là một hệ thống được che chắn hoàn toàn, không có cách nào về mặt mật mã để chứng minh rằng lỗi chưa từng bị lạm dụng. Những đảm bảo quyền riêng tư tương tự giúp Zcash phù hợp cho các giao dịch kín lại khiến việc kiểm toán nguồn cung được che chắn đối với các đồng giả mạo được đúc trước khi bản vá vào ngày 2/6 được triển khai là không thể.
