Zcash (zec) впав на 31% після того, як дослідники розкрили критичну помилку, що могла дозволити зловмисникам створювати необмежену кількість підроблених монет усередині орієнтованого на приватність пулу Orchard мережі, хоча розробники стверджують, що баг був виправлений до будь‑якої відомої експлуатації.
Вразливість Zcash
Незалежна група підтримки Shielded Labs у четвер повідомила, що інженер з безпеки Тейлор Хорнбі виявив серйозну вразливість у пулі транзакцій Orchard Zcash під час огляду протоколу, який розпочався у квітні.
Помилка стосувалася Orchard — прихованого (shielded) пулу мережі, що використовує докази з нульовим розголошенням для верифікації приватних транзакцій. За словами Shielded Labs, ця вразливість дозволяла зловмиснику надсилати хибні вхідні дані під час процесу множення еліптичної кривої, при цьому успішно проходячи валідацію транзакцій і потенційно даючи змогу створювати необмежену кількість підроблених ZEC.
Хорнбі виявив проблему 29 травня, використовуючи поєднання традиційного аналізу безпеки та досліджень із залученням ШІ, зокрема моделі Opus 4.8 від Anthropic. Він одразу повідомив про знахідку інженерам Zcash Open Development Lab, і вразливість була усунена 1 червня.
Дослідники заявили, що їм вдалося створити експлойт‑proof of concept у локальному тестовому середовищі, продемонструвавши, що помилка є реальною і дає змогу генерувати непомітні підроблені ZEC в контрольованих умовах.
Також читайте: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Виявлення за допомогою ШІ
Попри серйозність вразливості, у Shielded Labs вважають, що фактична експлуатація малоймовірна. Помилка існувала з моменту запуску Orchard у травні 2022 року, але залишалася непоміченою, незважаючи на ретельні перевірки криптографами та фахівцями з безпеки.
Організація зазначила, що відкриття стало результатом цілеспрямованих зусиль з виявлення складних вразливостей до того, як їх знайдуть зловмисники. Дослідники поєднали нещодавно випущені інструменти ШІ з власними робочими процесами в галузі безпеки, створеними для прискорення аналізу коду та пошуку вразливостей.
Оскільки транзакції Orchard за своєю природою є приватними, слідчі не можуть однозначно з’ясувати, чи використовувався баг на практиці. Втім, у Shielded Labs заявили, що наразі немає жодних доказів того, що у живій мережі створювалися підроблені монети.
Команда зараз оцінює оновлення мережі, яке дозволило б користувачам самостійно перевіряти цілісність пропозиції Zcash.
Пропозиція передбачає розгортання нового shielded‑пулу та запровадження додаткових облікових механізмів, що мають довести відсутність підроблених ZEC в Orchard.
Розкриття інформації спровокувало різку реакцію ринку.
ZEC впав приблизно до $383 у п’ятницю вранці, що на 36% нижче за показник попередніх 24 годин, причому значна частина падіння сталася протягом кількох годин після публічного оголошення. Токен упродовж останніх років неодноразово переживав періоди екстремальної волатильності, часто різко реагуючи на події, пов’язані з технологіями конфіденційності, регулюванням і безпекою мережі.
Читайте далі: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps