Zcash поправи критична уязвимост в Orchard, а ZEC се срина с над 52%

Zcash активира извънреден soft fork и последващ hard fork, за да отстрани критична уязвимост в Orchard – най-новия защитен пул на мрежата. Проблемът е открит на 29 май от независимия изследовател по сигурността Тейлър Хорнби по време на одит, извършван за Shielded Labs. Според разработчиците няма доказателства уязвимостта да е била използвана преди поправката и няма данни за създаване на неоторизирани ZEC монети.

Разкритието бързо се прехвърли и върху пазара на ZEC. След разкриването на проблема и последвалите дискусии около възможността за проверка на предлагането, цената на ZEC се понижи до около $264 по данни на CoinGecko, което представлява спад от над 52% спрямо локалните върхове, достигнати по-рано през седмицата.

Критичната уязвимост в Orchard и рискът за Zcash

Orchard, най-новият защитен пул на Zcash, се оказа в центъра на инцидента, въведен през 2022 г. като част от мрежовия ъпгрейд NU5. Orchard използва системата Halo 2 и е първата реализация в екосистемата на Zcash, която не изисква доверена първоначална настройка.

Според техническата информация, публикувана от разработчиците, проблемът е бил свързан с грешка в Orchard zero-knowledge proof веригата. При успешна експлоатация тя би могла да позволи приемането на невалидни състояния в рамките на Orchard, което потенциално би довело до двойно харчене на средства вътре в пула.

Разработчиците подчертават, че уязвимостта не е засягала поверителността на потребителите и не е компрометирала общото предлагане на ZEC. Това се дължи на т.нар. turnstile механизъм на Zcash, който следи движението на стойност между отделните пулове и позволява проверка дали общото количество монети остава непроменено.

Въпреки това архитектурата на Zcash поставя силен акцент върху поверителността, което затруднява независимата проверка дали подобна уязвимост е била използвана преди откриването ѝ. От Shielded Labs заявиха:

„Поради свойствата на поверителност на Orchard и естеството на бъга, няма категоричен начин да се определи единствено с криптографски средства дали такава злоупотреба е възникнала преди уязвимостта да бъде открита и поправена. Смятаме, че е важно да бъдем прозрачни относно тази несигурност.“

Поради тази несигурност Shielded Labs вече проучва възможността за бъдещ мрежов ъпгрейд, който да позволи по-лесна проверка на предлагането чрез нов защитен пул и допълнителни механизми за счетоводно проследяване на средствата, напускащи Orchard.

Допълнително внимание привлече фактът, че според Zooko Wilcox уязвимостта е била открита от Тейлър Хорнби по време на одит за Shielded Labs с помощта на специализирана агентна рамка за сигурност, използваща модела Opus 4.8 на Anthropic.

Откритието привлече внимание и извън екосистемата на Zcash, тъй като демонстрира как ново поколение AI системи вече се използват при одитирането на сложни криптографски протоколи.

Спешният ъпгрейд NU6.2 възстанови Orchard транзакциите

След получаването на сигнала инженерите на ZODL потвърждават проблема в рамките на часове и започват координация с миньори, борси, оператори на възли и инфраструктурни доставчици.

Решението е реализирано на два етапа.

Първо е активиран извънреден soft fork чрез Zebra 4.5.3, който временно забранява Orchard трансакциите. По този начин разработчиците ограничават риска от потенциална злоупотреба, без да разкриват техническите детайли на уязвимостта.

След това е активиран мрежовият ъпгрейд NU6.2 чрез Zebra 5.0.0. Hard fork-ът въвежда коригирана версия на Orchard веригата и възстановява нормалната работа на защитения пул. Според Zcash Foundation това е едва вторият случай в историята на проекта от 2016 г. насам, при който се налага сигурностно мотивиран протоколен ъпгрейд.

Разработчиците съобщават, че Orchard трансакциите са били временно преустановени за приблизително едно денонощие, след което функционалността е възстановена успешно.

Пазарната реакция свали ZEC с над 52% до $264

Публикуването на техническите детайли около Orchard доведе до рязка разпродажба на ZEC, въпреки че разработчиците съобщиха, че не са открили доказателства за злоупотреба.Допълнително напрежение създаде позицията на Shielded Labs, според която не съществува категоричен криптографски метод, който да докаже дали уязвимостта е била използвана преди откриването и поправянето ѝ. Макар анализите на екипа да не показват признаци за злоупотреба, организацията признава, че не може да предостави окончателно доказателство поради начина, по който функционира Orchard.

След разкриването на случая цената на ZEC се понижи от приблизително $550 до дъно около $264 в рамките на 24 часа, което представлява спад от над 52%. Впоследствие активът започна частично възстановяване и към момента на публикуване се търгува около $337 според данните на CoinGecko.Негативните настроения бяха подсилени и от коментари на известни участници в индустрията. Сред тях беше Артър Хейс, който заяви, че е продал цялата си позиция в ZEC след разкриването на уязвимостта.

Инцидентът отново насочи вниманието към една от фундаменталните разлики между Биткойн и поверителните криптовалути като Zcash.

При Биткойн общото предлагане и всички транзакции могат да бъдат независимо проверявани от всеки участник в мрежата чрез публичния блокчейн. При системи, които използват сложни механизми за поверителност и zero-knowledge доказателства, защитата на личните данни е по-висока, но проверката на предлагането и анализът на определени класове уязвимости може да бъде значително по-труден.

Източници:
1. Zcash Foundation – Zebra 4.5.3 and 5.0.0: Emergency Soft Fork and NU6.2 Activation
2. ZODL – Orchard Vulnerability Successfully Remediated
3. Shielded Labs / Zooko Wilcox – публикация относно откриването на уязвимостта чрез Opus 4.8
4. Arthur Hayes – публикация в X относно продажбата на позицията му в ZEC
5. CoinGecko – данни за цената и пазарните показатели на Zcash (ZEC)

Забележка: Информацията, публикувана в Cryptoria.bg, има изцяло образователен и информационен характер и не представлява финансова, правна или инвестиционна консултация. Нито една статия, анализ или новина на този уебсайт не следва да се тълкува като препоръка, оферта или покана за покупка, продажба или участие в каквито и да е криптовалути, дигитални активи или финансови инструменти.

Отказ от отговорност: Криптовалутите и свързаните с тях технологии са обект на висока волатилност и повишен риск. Препоръчваме ви винаги да провеждате собствено проучване (DYOR) и да се консултирате с лицензиран финансов или правен експерт, преди да вземате инвестиционни решения. Cryptoria.bg не носи отговорност за загуби или щети, произтичащи от използването на информацията, публикувана на този уебсайт.