المؤلف: كوري، Deep潮 TechFlow
زكاش ($ZEC)، كأقدم عملة مشفرة تركز على الخصوصية، ظلت تبني سردها الأساسي على "الخصوصية القابلة للتحقق + حد أقصى ثابت للعرض يبلغ 21 مليون وحدة".
لكن مؤخرًا، تم تدمير أساس الثقة هذا فجأة بسبب ثغرة خطيرة تم اكتشافها بمساعدة أقوى نموذج غير مُعلن عنه حاليًا، Claude Opus4.8:
يوجد احتمال تزوير ZEC وإصدار جديد في خزان الخصوصية Orchard المُصمم في Zcash.
في التفاصيل، استخدم باحث الأمن تايلور هورنباي نموذج Claude Opus 4.8 الذي أصدرته Anthropic حديثًا، أثناء إجراء تدقيق بروتوكول تشفير بتكليف من Shielded Labs، ونجح في توليد كمية غير محدودة من ZEC مزيفة تمامًا وغير قابلة للكشف في بيئة محلية.
جوهر الثغرة هو أن قاعدة واحدة في دائرة Orchard (أي دليل قواعد المعاملات) كُتبت بشكل متساهل جدًا، مما أدى إلى قيام محرك الإثبات بقبول المعاملات الكاذبة كمعاملات صالحة.
تم إصلاح هذه المشكلة بشكل عاجل في 1-2 يونيو، وتم الكشف الكامل عنها في 5 يونيو من قبل زوكو، مؤسس Zcash، بالتعاون مع Shielded Labs. بعد الكشف، انخفض سعر ZEC بنسبة 26%-36% خلال 24 ساعة، وانهار ثقة المشترين فورًا.
الأكثر إثارةً للانتباه، تأكّد التداول الشهير آرثر هاييز (الذي صنّف ZEC كثاني أكبر مراكزه في صندوق "الثالوث المقدس") أنه باع جميع مراكزه بالكامل. ويعود السبب إلى قلقٍ قوي بشأن الحاجة إلى الخصوصية:
على الرغم من أن احتمالية الاستغلال ضئيلة جدًا، إلا أن السرد المتعلق بمكافحة الخصوصية ضد الذكاء الاصطناعي/الحكومات/الشركات الكبرى يتطلب الكمال، وليس مجرد "احتمالية عدم حدوث أي شيء".
في ظل شكوك السوق، نشر جوش سويهارت، مؤسس ورئيس تنفيذي لمختبر التطوير المفتوح لـ Zcash (ZODL) (القائد الفعلي لفريق تطوير Zcash)، منشورًا للرد، وكان عنوانه أشبه باعتراف علني وطلب غفران:
لن يكون هناك مرة أخرى (Never Again).
هذا هو الترجمة الكاملة باللغة الصينية لمنشور جوش سويهارت:
اليوم، اقترحت Shielded Labs على المجتمع استكشاف إنشاء خزان Orchard ثاني لمعالجة ثغرة التزوير التي تم إصلاحها مؤخرًا في التنفيذ الحالي لـ Orchard. من الناحية النظرية، من الممكن أن يتم تنفيذ خزان Orchard الثاني في ترقية الشبكة NU7 في أواخر يوليو.
أنا لا أتخذ موقفًا ثابتًا بشأن ما إذا كان ينبغي إنشاء خزان Orchard ثاني. السؤال الأكثر أهمية للنقاش هو: كيف يمكننا ضمان ألا تحدث مثل هذه الثغرات أبدًا؟
أفضل إجابة، كما ذكر سابقاً سيان، هي التحقق الرسمي (formal verification). لشرحها بشكل مبسط للعامة: تتضمن معاملة Zcash المحمية بالخصوصية "إثباتاً" يُظهر أنها تلتزم بدقة بقواعد البروتوكول—هذه القواعد مكتوبة في "كتيب القواعد" (أي الدائرة، circuit) الذي يحدد ما الذي يُعد معاملة صالحة.
كان ثغرة Orchard هذه ناتجة عن كون قاعدة واحدة منها مكتوبة بشكل متساهل جدًا، مما جعلها تقبل معلومات زائفة مع مرورها بالتحقق. ونتيجة لذلك، قد يُقنع النظام النظام بقبول المعاملات المزيفة على أنها حقيقية — أي أنه من الناحية النظرية، يمكن لأحد أن يزور ZEC داخل خزانة Orchard.
هذا عيب في دليل القواعد نفسه، وليس في التشفير الأساسي أو محرك إنشاء الإثباتات. كما قال سيان، فإن خزانات الحماية تخفي المبالغ والتاريخ—وهذا هو معنى الخصوصية.
ولكن بسبب ذلك، لا يمكنك التحقق مباشرة من القيم كما تفعل مع دفتر حسابات عام. الوسيلة الوحيدة لضمان عدم التزوير هي الإثبات الرياضي: كل معاملة تتبع القواعد بدقة. بما أن المشكلة تكمن في دليل القواعد، فإن محرك الإثبات نفسه ليس مهمًا في الواقع، بل المهم هو كيفية صياغة القواعد.
دفتر قواعد Orchard معقد جدًا، حيث قام بتنفيذ العديد من المعالجات الاستثنائية من أجل تحقيق السرعة، وهو قوي لكنه مرهق للغاية ويصعب فحصه بشكل شامل. من الصعب اكتشاف قاعدة مكتوبة بشكل متساهل للغاية — وحتى بعد عدة جولات من المراجعة والأمن من قبل خبراء، لم يتم اكتشافها هذه المرة.
التحقق الشكلي يمكنه حل هذه المشكلة.
يمكنه استخدام الإثبات الرياضي لضغط الأجزاء التي يحتاج البشر إلى مراجعتها في عبارات قواعد موجزة وسهلة القراءة، ثم السماح للحاسوب بفحص كامل دليل القواعد للتأكد من التوافق. الآن، يمكن لأدوات الذكاء الاصطناعي مساعدتك في كتابة هذه الإثباتات.
يجعل هذا من السهل جدًا مراجعة العمل: ما عليك سوى الاطلاع على مواصفات صغيرة وواضحة، ثم تشغيل مدقق لا يمكن خداعه. لم نعد نعتمد على النظر البشري "لرؤية" ما إذا كانت هناك مشكلات، بل نستخدم الإثباتات لضمان عدم وجود أي مشكلات على الإطلاق.
الثقة تعتمد الآن فقط على افتراضات التشفير الأساسية ومواصفات صغيرة جدًا. هذا هو المعيار الصناعي الحالي. يتم بناء Tachyon باستخدام التحقق الرسمي، وهو يستخدم دليل قواعد أبسط وأكثر توحيدًا، مع عدد أقل بكثير من الاستثناءات والتعقيدات مقارنة بـ Orchard، ويمكن إثبات صحة جميع القواعد رياضيًا بشكل مثالي.
لكن كما أشار سيان، هناك بالفعل عدة فرق تعمل على التحقق الرسمي للدوائر الحالية لـ Orchard. إذا نجح ذلك، فقد يكون أفضل مسار على المدى القصير هو إطلاق حوض Orchard ثاني مُحقق رسميًا قبل Tachyon.
Tachyon أكثر نظافة، لكن Orchard المُوثَّق شكليًا يمكن أن يكون حلاً انتقاليًا جيدًا ويضمن عدم تكرار هذه الثغرات. شكرًا لSean Bowe على مراجعته وآرائه.
لم يتجاهل جوش خطورة الثغرة، بل ركز على الحلول طويلة الأجل، أي التحقق الرسمي (formal verification) + الدوائر الجيل القادم الأكثر بساطة Tachyon.
من منظور العلاقات العامة، فإن الاعتراف الصريح بالمشكلة وتقديم خطة تصحيحية هو خيار جيد من الناحيتين التقنية والعاطفية.
في بيئة السوق الحالية التي تشهد هبوطًا مستمرًا في سوق التشفير الكبيرة، ستُسرّع مشاكل Zcash نفسها من استسلام حاملي العملة، وكأن البيع لا يملك سببًا، لكن أليس هذا السبب الجاهز قد ظهر الآن؟
بعد كل شيء، قد لا يهتم المضاربون بإصلاحات الحلول التقنية، فالسوداء هي محفز للهبوط.
الاستجابة السريعة للتصحيح والشفافية في الإفصاح هما عاملان إيجابيان، لكن "عدم القدرة على إثبات البراءة بشكل قاطع" بالإضافة إلى انسحاب أصحاب الرؤوس الكبيرة سيستمران في الضغط على السرد القصير الأجل والسعر. على المدى الطويل، إذا تم تنفيذ التحقق الشكلي، فقد يساعد في استعادة Zcash لموقعها كـ"عملة الخصوصية الأقوى"، لكن كل شيء يتطلب وقتًا.