Zcash (zec) đã lao dốc 31% sau khi các nhà nghiên cứu công bố một lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công tạo vô hạn coin giả bên trong pool Orchard tập trung vào quyền riêng tư của mạng, dù các nhà phát triển cho biết lỗi đã được vá trước khi có bất kỳ khai thác nào được biết đến.
Lỗ hổng của Zcash
Nhóm hỗ trợ độc lập Shielded Labs cho biết vào thứ Năm rằng kỹ sư bảo mật Taylor Hornby đã phát hiện một lỗ hổng nghiêm trọng trong pool giao dịch Orchard của Zcash trong quá trình rà soát giao thức bắt đầu từ tháng 4.
Lỗi này ảnh hưởng đến Orchard, pool “shielded” của mạng, nơi sử dụng bằng chứng không kiến thức (zero-knowledge proofs) để xác minh các giao dịch riêng tư. Theo Shielded Labs, lỗ hổng này cho phép kẻ tấn công gửi các đầu vào giả trong quá trình nhân đường cong elliptic nhưng vẫn vượt qua bước xác thực giao dịch, từ đó có thể tạo ra vô hạn ZEC giả.
Hornby phát hiện vấn đề vào ngày 29/5 bằng cách kết hợp phân tích bảo mật truyền thống và nghiên cứu hỗ trợ bởi AI, bao gồm cả mô hình Opus 4.8 của Anthropic. Anh đã lập tức báo cáo phát hiện cho các kỹ sư tại Zcash Open Development Lab, và lỗ hổng được vá vào ngày 1/6.
Các nhà nghiên cứu cho biết họ đã tạo thành công một bản khai thác proof-of-concept trong môi trường thử nghiệm cục bộ, cho thấy lỗ hổng là có thật và có thể tạo ra ZEC giả không thể phát hiện trong điều kiện được kiểm soát.
Cũng nên đọc: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
AI phát hiện lỗ hổng
Dù lỗ hổng rất nghiêm trọng, Shielded Labs cho biết khả năng bị khai thác thực tế có vẻ thấp. Lỗi đã tồn tại từ khi Orchard ra mắt vào tháng 5/2022 nhưng vẫn không bị phát hiện, dù đã được các chuyên gia mật mã và nhà nghiên cứu bảo mật rà soát kỹ lưỡng.
Tổ chức cho biết phát hiện này là kết quả của nỗ lực có chủ đích nhằm tìm ra các lỗ hổng tinh vi trước khi kẻ xấu có thể phát hiện. Các nhà nghiên cứu đã kết hợp các công cụ AI mới phát hành với các quy trình bảo mật tự xây dựng nhằm tăng tốc phân tích mã và săn lùng lỗ hổng.
Do các giao dịch Orchard được thiết kế là riêng tư, các nhà điều tra không thể xác định dứt khoát liệu lỗi đã từng bị khai thác hay chưa. Tuy vậy, Shielded Labs cho biết hiện không có bằng chứng cho thấy coin giả đã được tạo trên mạng chính.
Nhóm hiện đang đánh giá một nâng cấp mạng cho phép người dùng tự mình xác minh tính toàn vẹn của tổng cung Zcash.
Đề xuất bao gồm triển khai một pool shielded mới và giới thiệu thêm các cơ chế hạch toán để chứng minh rằng không có ZEC giả tồn tại trong Orchard.
Việc công bố thông tin đã kích hoạt phản ứng mạnh từ thị trường.
ZEC giảm xuống khoảng 383 USD vào đầu ngày thứ Sáu, thấp hơn 36% so với 24 giờ trước đó, với phần lớn mức giảm diễn ra chỉ trong vài giờ sau thông báo công khai. Token này đã trải qua nhiều giai đoạn biến động cực mạnh trong những năm gần đây, thường phản ứng dữ dội với các diễn biến liên quan đến công nghệ bảo mật quyền riêng tư, quy định và an ninh mạng.
Đọc tiếp: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps