Zcash (zec) は、攻撃者がネットワークのプライバシー重視のOrchardプール内で無制限に偽造コインを作成できた可能性のある重大な不具合が研究者により開示されたことを受けて、31%急落した。ただし開発者によると、このバグは既知の悪用が行われる前に修正されたという。
Zcashの脆弱性
独立系支援グループであるShielded Labsは木曜日、セキュリティエンジニアのTaylor Hornbyが、4月に始まったプロトコルレビューの過程でZcashのOrchardトランザクションプールにおける重大な脆弱性を発見したと明らかにした。
この不具合は、ゼロ知識証明を用いてプライベートトランザクションを検証するネットワークのシールドプール「Orchard」に影響していた。Shielded Labsによれば、この脆弱性により、楕円曲線の乗算処理中に攻撃者が不正な入力を送信してもトランザクション検証を通過してしまい、その結果、無制限の偽造ZECを生成できた可能性があったという。allowed
Hornbyは、従来型のセキュリティ分析と、AnthropicのOpus 4.8モデルを含むAI支援リサーチを組み合わせることで、5月29日にこの問題を特定した。彼は直ちにZcash Open Development Labのエンジニアに報告し、この脆弱性は6月1日にパッチが適用された。
研究者らはローカルのテスト環境で概念実証用のエクスプロイトの作成に成功し、この不具合が実在し、制御された条件下では検出不能な偽造ZECを生成し得ることを示した。
Also Read: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
AIによる発見
脆弱性の深刻さにもかかわらず、Shielded Labsは実際の悪用が行われていた可能性は低いと述べている。この不具合は2022年5月のOrchard立ち上げ以来存在していたが、暗号研究者やセキュリティ研究者による広範なレビューにもかかわらず、これまで気付かれていなかった。
同団体によると、この発見は悪意ある攻撃者が見つける前に高度な脆弱性を特定することを目的とした集中的な取り組みの成果だという。研究者らは、最近公開されたAIツールと、コード解析や脆弱性ハンティングを加速するために設計された独自のセキュリティワークフローを組み合わせた。
Orchardのトランザクションは設計上プライベートであるため、調査者はこのバグが実際に悪用されたかどうかを完全には判断できない。しかしShielded Labsは、現時点でライブネットワーク上で偽造コインが作成されたことを示す証拠はないと述べている。
チームは現在、ユーザーがZcashの供給量の整合性を独立して検証できるようにするネットワークアップグレードを評価している。
この提案には、新たなシールドプールの導入と、Orchard内に偽造ZECが存在しないことを証明するための追加の会計メカニズムの導入が含まれる。
この開示は市場に急激な反応を引き起こした。
ZECは金曜早朝に約383ドルまで下落し、過去24時間で36%安となった。下落の大部分は、公表から数時間のうちに発生した。トークンは近年、プライバシー技術、規制、ネットワークセキュリティに関する動向に敏感に反応し、極端なボラティリティを示す局面が何度もあった。
Read Next: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps