Zcash (zec) は、攻撃者がネットワークの プライバシー重視の Orchard プール 内で 無制限に偽造コインを作成できた可能性のある重大な欠陥が研究者によって開示されたことを受けて、 31%急落した。ただし開発者によると、このバグは既知の悪用が起きる前に修正されているという。
Zcash の脆弱性
独立系支援グループである Shielded Labs は木曜日、 セキュリティエンジニアの Taylor Hornby が、4月に開始されたプロトコルレビューの中で Zcash の Orchard トランザクションプールに深刻な脆弱性を 発見 したと明らかにした。
この欠陥は、プライベートトランザクションを検証するためにゼロ知識証明を用いる ネットワークのシールドプール Orchard に影響するものだった。 Shielded Labs によると、この脆弱性は、攻撃者が楕円曲線乗算処理の際に 虚偽の入力を送信してもトランザクション検証を通過できてしまい、 結果として無制限の偽造 ZEC を生成し得る状況を 許していた という。
Hornby は、従来型のセキュリティ分析と、Anthropic の Opus 4.8 モデルを含む AI 支援のリサーチを組み合わせ、5月29日にこの問題を特定した。 彼は直ちに Zcash Open Development Lab のエンジニアに結果を報告し、 脆弱性は6月1日にパッチ適用された。
研究者たちは、ローカルのテスト環境で概念実証レベルのエクスプロイト作成に成功し、 この欠陥が現実のものであり、制御された環境下では 検出不可能な偽造 ZEC を生成し得ることを実証した。
Also Read: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
AI による発見
脆弱性の深刻さにもかかわらず、Shielded Labs は実際の悪用が行われた可能性は 低いとみている。この欠陥は2022年5月の Orchard ローンチ時から存在していたが、 暗号学者やセキュリティ研究者による広範なレビューにもかかわらず これまで発見されなかった。
同団体によると、この発見は、悪意ある攻撃者に先んじて高度な脆弱性を見つけることを 目的とした集中的な取り組みの結果だという。 研究者たちは、最近公開された AI ツールと、コード解析や脆弱性ハンティングを 加速させるために設計された独自のセキュリティワークフローを組み合わせた。
Orchard のトランザクションは設計上プライベートであるため、 調査者たちはこのバグが実際に悪用されたかどうかを完全には特定できない。 しかし Shielded Labs は、現時点では本番ネットワーク上で 偽造コインが作成されたことを示す証拠はないと述べている。
チームは現在、ユーザーが Zcash の供給量の健全性を独自に検証できるようにする ネットワークアップグレード案を評価している。
この提案には、新たなシールドプールの導入と、 Orchard 内に偽造 ZEC が存在しないことを証明するための 追加の会計メカニズムの導入が含まれている。
この開示は市場の急激な反応を引き起こした。
ZEC は金曜早朝に約383ドルまで下落し、過去24時間で36%安となった。 下落の大半は公表から数時間のうちに発生した。 このトークンは近年、プライバシー技術、規制、ネットワークセキュリティに関する動向に 強く反応し、極端なボラティリティを何度も経験している。
Read Next: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps