Ipinahayag ng team ng Zcash na mayroong seriyosong butas sa Orchard shielded pool ng network, na teoretikal na nagpapahintulot sa mga attacker na maglikha ng walang katapusang bilang ng ZEC nang hindi mapansin. Naresolba ang problema sa maagang bahagi ng linggo, ngunit sinabi ng team na batay lamang sa kriptograpiya, hindi sila makakapag-verify kung ginamit ba ang butas sa mainnet bago ito ay itinama.
Ang bug ay patuloy na umiiral mula 2022
Sinabi ng Shielded Labs, na responsable sa pagpapahayag, na ang problema ay umiiral mula nang ma-enable ang Orchard noong Mayo 2022, at natapos ang emergency response lamang noong Hunyo 2. Ang mga koordinadong network upgrade na nakikita ng publiko ay direktang kaugnay sa pagpapabuti ng butas na ito.
Nakita ng security researcher na si Taylor Hornby ang problema noong Mayo 29 sa isang trusted security review, at matagumpay niyang nilikha ang isang functional exploit sa lokal na test environment. Ayon sa disclosure, ang vulnerability ay nagmumula sa insufficient constraints sa Orchard circuit, na nagpapahintulot sa maling input na lumampas sa elliptic curve multiplication verification, na nagreresulta sa pagbuo ng forged ZEC.
Dinagdagan ng privacy mechanism ang hirap ng pagsusuri
Sinabi ng mga developer na wala pang ebidensya na ginamit ang butas bago ito ay ikinorekta. Gayunpaman, ang mga transaksyon ng Orchard ay gumagamit ng mekanismo ng pagpaprotekta sa privacy, kaya hindi maaaring suriin nang pambawis ng mga panlabas tulad ng sa isang publikong libro, at kaya walang tiyak na paraan upang patunayan na ang mga pagnanakaw na token ay hindi nagkakaroon ng paglipat.
Ibig sabihin nito, bagaman naayos na ang problema, nananatili pa ang kakaibang bahagi sa integridad ng suplay ng Zcash. Sinabi ng Shielded Labs na ang tim ay nagtantiya na maliit ang posibilidad na ito ay na-exploit sa nakaraan, isa sa mga dahilan ay ang pagkakaroon ng matagal na panahon na hindi ito natuklasan ng mga karanasan na cryptographer; agad ring nagkamali ang window para sa pag-exploit pagkatapos ma-verify ang problema sa loob.
Ang timbang ng team sa susunod na pag-update ng network
Binanggit din sa paglilinaw na ginamit ng mga siyentipiko ang Anthropic’s Opus 4.8 model at isang custom na AI-assisted audit method. Sinabi ni Shielded Labs na natuklasan ang vulnerability agad pagkatapos ng paglalabas ng bagong model.
Kasalukuyang pinag-evaluwa ng team kung magpapahalagang magkaroon ng susunod na network upgrade upang masuri kung ang supply ng Zcash ay kompletong naka-verify at upang alisin ang mga alalahanin tungkol sa paggawa ng fake ZEC. Ang unang plano ay kasama ang pagpapagana ng bagong shielded pool at ang pagpapatupad ng “turnstile accounting” verification para sa mga token na lumalabas mula sa Orchard. Hinihintay ang karagdagang detalye sa susunod na linggo.
- Natuklasan sa: 2026年5月29日
- Natapos na ang emergency repair: June 2, 2026
- Petsa ng pagsasahimpapawid: Hunyo 5, 2026