ज़कैश इकोसिस्टम ने पुष्टि की है कि उसकी प्राइवेसी ट्रांजैक्शन पूल ऑर्कार्ड में असीमित संख्या में ZEC बनाने की गंभीर वैलिडिटी दोष है। संबंधित ठीक करने का कार्य 1 जून को पूरा हो चुका है, लेकिन ऑर्कार्ड के प्राइवेसी डिज़ाइन के कारण, 2022 मई से 2026 जून के बीच इस दोष का दुरुपयोग हुआ या नहीं, इसे ब्लॉकचेन पर सीधे सत्यापित नहीं किया जा सकता। समाचार के प्रकाशित होने के बाद, ZEC 250 डॉलर के पास गिर गया और दिन के भीतर सबसे अधिक 43% की गिरावट आई।
वेलिडेशन को बाईपास किया जा सकता है
इस दुर्भावनापूर्ण बिंदु को सुरक्षा शोधकर्ता टेलर हॉर्नबी ने 29 मई को खोजा। हॉर्नबी को Zcash टीम द्वारा सुरक्षा शोध के लिए आमंत्रित किया गया था, और Anthropic के Claude Opus 4.8 की सहायता से, उन्होंने कार्यात्मक पूर्ण दुरुपयोग कोड लिखा।
समस्या Orchard द्वारा लेन-देन इनपुट के लिए एक जांच तर्क में है। दिखने में, यह जांच यह सुनिश्चित करती है कि इनपुट नियमों के अनुसार है, लेकिन वास्तव में यह सीमाओं को पूरी तरह से पूरा नहीं करती है। यदि हमलावर झूठे इनपुट बनाता है, तो वह अभी भी शून्य-ज्ञान साबिती की जांच से गुजर सकता है, जिससे ZEC का अचानक उत्पादन हो सकता है, और ये झूठे टोकन सामान्य टोकन से अलग करना मुश्किल है।
मरम्मत पूर्ण
हॉर्नबी ने कहा कि उन्होंने केवल स्थानीय वातावरण में पुष्टि की, और तुरंत Zcash के समन्वय विकास के लिए जिम्मेदार ZODL को समस्या का पता चलाया, और मुख्य नेटवर्क पर हमला नहीं किया। Zcash पारिस्थितिकी ने 1 जून को आपातकालीन ठीक करने का कार्यान्वयन किया, जिससे इस दुर्बलता के आगे दुरुपयोग को रोक दिया गया।
हालांकि, टीम ने एक साथ स्वीकार किया कि दरार का वास्तविक दुरुपयोग लगभग 4 वर्षों तक जारी रह सकता था। कठिनाई इस बात में है कि Orchard स्वयं एक गोपनीयता पूल है, जिसका डिज़ाइन लेन-देन की राशि और प्रतिभागियों की जानकारी को छिपाने का उद्देश्य रखता है, जिसका अर्थ है कि बाहरी पक्ष को पिछले समय में गुप्त अतिरिक्त मुद्रण का पता लगाने के लिए क्रिप्टोग्राफिक रूप से कोई तरीका नहीं है।
समुदाय अपग्रेड को आगे बढ़ाने का प्रस्ताव कर रहा है
अनुसरण जोखिमों को संभालने के लिए, Shielded Labs एक नेटवर्क अपग्रेड शुरू करने का प्रस्ताव दे रहा है। इस योजना में नए प्राइवेसी पूल का अपडेट और Orchard से आने वाले टोकन के लिए "turnstile accounting" जांच तंत्र शामिल है।
इस दृष्टिकोण के अनुसार, मौजूदा Orchard टोकन को एक वैधिक चेकपॉइंट से गुजरना होगा, जिससे झूठी आपूर्ति की पहचान की जा सके। यह योजना अभी भी समुदाय शासन के समर्थन और Zcash के नियमित नेटवर्क अपग्रेड प्रक्रिया से गुजरने की आवश्यकता रखती है। अधिक विस्तृत प्रस्ताव अगले हफ्ते जारी किए जाने की उम्मीद है।
AI ऑडिट क्षमता पर ध्यान केंद्रित है
अपग्रेड योजना के अलावा, शील्डेड लैब्स ने पूरे ऑर्चार्ड सर्किट के गणितीय सत्यापन की शुरुआत और सुरक्षा प्रबंधक तथा क्रिप्टोग्राफी शोधकर्ताओं की भर्ती की घोषणा की है। इस घटना ने AI सुरक्षा शोध क्षमताओं पर बाजार का ध्यान आकर्षित किया है।
Claude Opus 4.8 को 28 मई को लॉन्च किया गया, और शोधकर्ताओं ने मॉडल के लॉन्च के लगभग 24 घंटे बाद इस वर्षों पुराने महत्वपूर्ण दुर्बलता की खोज की। जैसे-जैसे अधिक शक्तिशाली मॉडल लॉन्च होते जा रहे हैं, क्रिप्टो प्रोटोकॉल के सामने हमले और सुरक्षा की गति और तेज हो सकती है।