Kerentanan Zcash Orchard: Empat Pertanyaan Penting Terjawab

iconOdaily
Bagikan
This is the logo of the coin.
ZEC
$419,12-1,64%
AI summary iconRingkasan

Penulis asli: Jason McGee, CEO Shielded Labs, dan pendiri Zcash Zooko Wilcox

Compiled by Odaily Planet Daily, Qin Xiaofeng (@QinXiaofeng 888 )

Editor's Note: On June 5 Beijing Time, the privacy project Zcash was revealed to have had a critical forgery vulnerability in its new-generation privacy pool, Orchard, causing the ZEC token to plummet by nearly half, hitting a low of around $250. After about ten days of market fallout, panic has subsided, ZEC prices have rebounded, and today it has returned to $500. (Recommended reading: “Infinite Money Printing” Vulnerability Lurked for Four Years, Privacy Coin ZEC Slashes in Half in One Day)

Pagi ini, pendiri Zcash Zooko Wilcox kembali menerbitkan artikel panjang untuk merespons isu-isu yang menjadi perhatian pasar. Ia menyatakan bahwa kemungkinan besar kerentanan Orchard belum pernah dimanfaatkan, dan dana Orchard yang sah dapat dipulihkan; saat ini, pengguna belum dapat memverifikasi sendiri apakah pasokan Zcash melebihi batas, tetapi pembaruan Ironwood akan mengunci kolam Orchard dan memulihkan kemampuan verifikasi ini; selama tinjauan berkelanjutan, tidak ditemukan kerentanan pemalsuan lainnya, tetapi konfirmasi penuh masih memerlukan lebih banyak pekerjaan.

Berikut adalah teks asli dari Zooko Wilcox, diterjemahkan oleh Odaily Planet Daily, nikmati~

————————————

Kerentanan Orchard terbaru telah memicu pertanyaan penting mengenai pasokan Zcash dan keamanan dana pengguna. Diskusi mencampurkan beberapa isu berbeda, sehingga sulit dipahami dampak nyata kerentanan ini terhadap pengguna. Artikel ini berusaha memisahkan masalah-masalah tersebut dan menjelaskan satu per satu maknanya bagi pengguna.

Kerentanan Orchard menimbulkan empat pertanyaan penting:

  1. Apakah kerentanan Orchard pernah dimanfaatkan?
  2. Apakah dana Orchard yang sah dapat dipulihkan?
  3. Apakah pengguna dapat memverifikasi bahwa pasokan Zcash tidak diterbitkan ulang?
  4. Bagaimana kita tahu tidak ada kerentanan pemalsuan lainnya?

Apakah kerentanan Orchard pernah dimanfaatkan?

Tidak diketahui. Kami percaya kemungkinan sebelumnya dimanfaatkan tidak besar, meskipun tidak dapat sepenuhnya dikecualikan. Kami percaya kerentanan kemungkinan besar tidak dimanfaatkan, karena tiga alasan:

Meskipun telah ditinjau secara berkelanjutan selama bertahun-tahun oleh sejumlah kriptografer dan peneliti keamanan terkemuka di seluruh dunia, kerentanan ini sebelumnya tidak terdeteksi. Penemuan akhirnya bukanlah kebetulan; itu ditemukan oleh Taylor Hornby dari Shielded Labs, yang bertujuan untuk secara aktif mengidentifikasi kerentanan keamanan semacam ini sebelum penyerang jahat memanfaatkannya. Taylor menggunakan teknik penelitian keamanan berbasis AI canggih dan alat khusus yang dibuat khusus untuk mengidentifikasi cacat halus yang terlewatkan orang lain, yang akan jauh lebih sulit dilakukan oleh mereka yang tidak memahami kodebase Zcash.

Setelah kerentanan ditemukan, pengembang Zcash (dipimpin oleh tim Zcash Open Development Labs) segera berkoordinasi dengan pool penambangan, sementara membekukan kolam Orchard dan menerapkan perbaikan untuk membatasi jendela peluang serangan.

Eksploitasi kripto sangat umum, dan penyerang biasanya segera menguangkannya secepat mungkin, terutama setelah kerentanan diumumkan. Untuk mendapatkan keuntungan dari kerentanan ini, penyerang perlu menukar ZEC palsu menjadi aset bernilai, yang biasanya menyebabkan ZEC mengalir keluar dari kolam Orchard melalui mekanisme turnstile. Jika kerentanan ini telah dieksploitasi sebelum diperbaiki, kami mengharapkan bukti telah muncul hingga saat ini. Secara historis, eksploitasi kripto biasanya bersifat operasi “ambil dan lari”, bukan strategi yang disembunyikan selama berbulan-bulan bahkan bertahun-tahun seperti “catur 4D”.

Apakah dana Orchard yang sah dapat dipulihkan?

Kami percaya bisa, karena kami percaya kerentanan tersebut tidak pernah dimanfaatkan. Jika penilaian ini benar, semua dana Orchard yang sah masih dapat sepenuhnya dipulihkan.

Gambar

Di sisi lain, jika memang terjadi pemalsuan di Orchard, mekanisme gerbang saat ini akan membatasi total jumlah yang dipindahkan hingga jumlah ZEC yang masuk secara sah ke dalam pool tersebut. Oleh karena itu, jika dana pemalsuan dipindahkan sebelum dana sah, pengguna tidak akan dapat menarik kembali sebagian atau seluruh dana Orchard yang sah.

Gambar

Kami percaya kemungkinan kejadian ini sangat kecil. Namun, untuk pengguna yang lebih berhati-hati, disarankan untuk memindahkan ZEC mereka dari Orchard. Namun, sebelum melakukan operasi ini, mereka harus memahami beberapa poin berikut:

  • Mentransfer dana ke kolam transparan (yaitu ke alamat t) akan secara bersamaan mengekspos jumlah transfer dan waktu transfer, serta dana tersebut juga akan secara publik dikaitkan dengan alamat t tersebut.
  • Memindahkan dana dari kolam Orchard ke kolam Sapling akan mengekspos jumlah transaksi dan waktu transaksi, tetapi berbeda dengan mentransfer ke alamat t, hal ini tidak mengaitkan dana tersebut dengan alamat tertentu atau riwayat transaksi.
  • Sapling pool bergantung pada upacara pengaturan tepercaya yang dilakukan pada tahun 2018. Ketergantungan pada keamanan pengaturan tepercaya ini merupakan risiko tambahan yang perlu diperhatikan pengguna.
  • Menurut pengetahuan kami, YWallet dan Zkool adalah satu-satunya dompet Zcash self-custody yang saat ini secara luas digunakan dan mendukung kolam Sapling.
  • Memindahkan dana ke dompet baru atau layanan penitipan akan menimbulkan risiko tambahan, termasuk kesalahan pengguna, cacat perangkat lunak, risiko penitip, atau masalah tak terduga lainnya.

Secara keseluruhan, kami percaya tingkat risiko di atas sedang. Jika dana Anda saat ini disimpan di dompet self-custody yang diblokir, mengingat evaluasi kami yang menyatakan pemalsuan sebelumnya kemungkinan besar tidak terjadi, membiarkannya di sana adalah pilihan yang masuk akal. Jika Anda memiliki cara yang aman, mentransfer dana ke tempat lain juga bisa menjadi pilihan yang masuk akal. Pengguna dapat menarik kesimpulan berbeda berdasarkan situasi masing-masing.

Apakah pengguna dapat memverifikasi bahwa pasokan Zcash tidak diterbitkan ulang?

Saat ini belum bisa. Kerentanan sebelumnya membuat pengguna tidak dapat memverifikasi secara mandiri apakah jumlah ZEC yang beredar di dalam pool penyaringan saat ini tidak melebihi jumlah yang benar.

Gambar

Namun, seperti yang telah kami sebutkan dalam artikel sebelumnya, upgrade Ironwood memulihkan kemampuan ini. Gambar di bawah ini menjelaskan alasannya.

Gambar

Peningkatan jaringan yang diusulkan menyelesaikan masalah ini dengan menjamin "tidak ada lagi kerentanan pemalsuan yang tidak diketahui" dan mengunci kolam Orchard. Dana baru tidak lagi dapat masuk, dan dana di dalam kolam tidak lagi dapat beredar. Satu-satunya jalur yang tersisa adalah melalui mekanisme gerbang yang ada, yang memastikan bahwa ZEC yang dikeluarkan dari kolam Orchard tidak melebihi jumlah yang masuk secara sah.

Perubahan ini memulihkan kemampuan untuk memverifikasi kesehatan pasokan Zcash.

Saat ini, jika dana palsu ada di dalam kolam Orchard, mereka dapat terus beredar di dalam kolam tersebut. Setelah pembaruan, hal ini tidak lagi mungkin terjadi. Siapa pun yang menjalankan node dapat memverifikasi, terlepas dari apakah pemalsuan pernah terjadi atau tidak, bahwa jumlah ZEC yang beredar tidak akan melebihi jumlah yang benar.

Pengguna tidak perlu menunggu dana keluar dari Orchard, maupun menebak perilaku penyerang atau pengguna lain. Protokol itu sendiri menyediakan jaminan yang dapat diverifikasi: ZEC berlebih tidak dapat terus beredar di dalam Orchard dan meningkatkan pasokan.

Ini penting karena kredibilitas jangka panjang Zcash bergantung pada kemampuan pengguna untuk secara mandiri memverifikasi integritas pasokannya. Ironwood memulihkan kemampuan pengguna untuk secara independen memverifikasi apakah batasan pasokan protokol telah ditegakkan.

Bagaimana kita tahu tidak ada kerentanan pemalsuan lainnya?

Kami belum dapat memastikan sepenuhnya, tetapi kami memiliki alasan untuk percaya tidak ada kerentanan lainnya. Shielded Labs dan beberapa tim lain terus melakukan tinjauan cermat terhadap protokol Zcash untuk mencari kerentanan pemalsuan tambahan. Ini termasuk menggunakan model AI Mythos yang belum dirilis, dengan bantuan Anthropic, tidak lama sebelum Mythos ditangguhkan, untuk mencari kerentanan tambahan. Kami berencana membagikan lebih banyak detail tentang tinjauan ini dan temuannya dalam posting blog berikutnya.

Sejauh ini, tidak ditemukan kerentanan pemalsuan lainnya. Tingkat keahlian tinggi, upaya yang dikeluarkan, dan analisis bantuan AI canggih yang terlibat dalam pencarian ini memberi kami keyakinan lebih besar bahwa tidak ada kerentanan serupa yang belum ditemukan.

Selain itu, kami sedang bekerja sama dengan proyek seperti Tachyon Project untuk memberikan jaminan tambahan bahwa tidak ada kerentanan pemalsuan yang tersisa di Zcash. Kami juga akan menjelaskan lebih lanjut dalam postingan blog mendatang.

Kesimpulan

Vulnerabilitas Orchard menunjukkan empat masalah penting: apakah kerentanan tersebut pernah dimanfaatkan, apakah dana Orchard yang sah dapat dipulihkan, apakah pengguna dapat memverifikasi bahwa pasokan Zcash tidak diperbanyak, dan apakah masih ada kerentanan pemalsuan lain yang belum ditemukan.

Kami percaya kemungkinan eksploitasi sebelumnya kecil, sehingga dana Orchard yang sah dapat dipulihkan, dan pasokan Zcash saat ini aman. Berdasarkan tinjauan berkelanjutan dari beberapa peneliti dan tim independen, kami juga semakin yakin tidak ada kerentanan pemalsuan lain yang belum ditemukan. Namun, pengguna saat ini belum dapat memverifikasi keamanan pasokan Zcash, dan mereka seharusnya tidak bergantung pada evaluasi kami—atau evaluasi siapa pun.

Peningkatan jaringan yang diusulkan menyelesaikan masalah ini. Dengan mengunci kolam Orchard, ia memulihkan kemampuan pengguna untuk secara mandiri memverifikasi keamanan pasokan Zcash. Pengguna tidak lagi perlu menilai apakah pemalsuan telah terjadi untuk memverifikasi apakah batasan pasokan protokol dipatuhi.


Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.