Zcash (zec) обвалился на 31% после того, как исследователи раскрыли критический изъян, который мог позволить атакующим создавать неограниченное количество поддельных монет внутри ориентированного на конфиденциальность пула Orchard сети, хотя разработчики заявляют, что ошибка была исправлена до какой‑либо известной эксплуатации.
Уязвимость Zcash
Независимая группа поддержки Shielded Labs в четверг сообщила, что инженер по безопасности Тейлор Хорнби обнаружил серьезную уязвимость в пуле транзакций Orchard Zcash во время обзора протокола, начавшегося в апреле.
Изъян затрагивал Orchard — защищённый пул сети, который использует доказательства с нулевым разглашением для проверки приватных транзакций. По данным Shielded Labs, уязвимость позволяла злоумышленнику отправлять ложные входные данные в процессе умножения на эллиптической кривой, при этом успешно проходя проверку транзакции, что потенциально давало возможность создавать неограниченное количество поддельных ZEC.
Хорнби выявил проблему 29 мая, используя сочетание традиционного анализа безопасности и исследований с помощью ИИ, включая модель Opus 4.8 компании Anthropic. Он незамедлительно сообщил о находке инженерам из Zcash Open Development Lab, и уязвимость была исправлена 1 июня.
Исследователи заявили, что им удалось создать эксплойт‑прототип в локальной тестовой среде, продемонстрировав, что уязвимость реальна и может генерировать необнаружимые поддельные ZEC в контролируемых условиях.
Также читайте: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Роль ИИ в обнаружении
Несмотря на серьёзность уязвимости, Shielded Labs считают, что фактическая эксплуатация маловероятна. Изъян существовал с момента запуска Orchard в мае 2022 года, но оставался незамеченным, несмотря на обширный анализ со стороны криптографов и специалистов по безопасности.
Организация заявила, что обнаружение стало результатом целенаправленных усилий по выявлению продвинутых уязвимостей до того, как их смогут найти злоумышленники. Исследователи объединили недавно выпущенные инструменты ИИ с собственными рабочими процессами по безопасности, призванными ускорить анализ кода и поиск уязвимостей.
Поскольку транзакции Orchard по своей природе приватны, следователи не могут однозначно установить, эксплуатировался ли когда‑нибудь этот баг. Однако в Shielded Labs отмечают, что на данный момент нет доказательств того, что в основной сети были созданы поддельные монеты.
Команда сейчас оценивает обновление сети, которое позволит пользователям самостоятельно проверять целостность предложения Zcash.
В предложение входит развертывание нового защищённого пула и внедрение дополнительных механизмов учёта, чтобы доказать отсутствие поддельных ZEC внутри Orchard.
Раскрытие информации спровоцировало резкую реакцию рынка.
ZEC упал до примерно 383 долларов ранним утром в пятницу, на 36% за предыдущие 24 часа, и большая часть падения пришлась на несколько часов после публичного объявления. Токен в последние годы неоднократно переживал периоды крайней волатильности, часто резко реагируя на новости, связанные с технологиями приватности, регулированием и безопасностью сети.
Читайте далее: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps