Ekosistem Zcash mengonfirmasi adanya kerentanan serius yang memungkinkan pemalsuan jumlah ZEC tak terbatas di kolam transaksi privat Orchard. Perbaikan terkait telah selesai pada 1 Juni. Namun, karena desain privasi Orchard, tidak mungkin memverifikasi secara langsung di blockchain apakah kerentanan ini pernah dimanfaatkan antara Mei 2022 hingga Juni 2026. Setelah berita ini diumumkan, ZEC sempat jatuh ke sekitar $250, dengan penurunan harian maksimum sebesar 43%.
Lubang keamanan dapat melewati validasi
Lubang ini ditemukan oleh peneliti keamanan Taylor Hornby pada 29 Mei. Hornby ditugaskan oleh tim Zcash untuk melakukan penelitian keamanan, dan dengan bantuan Claude Opus 4.8 dari Anthropic, ia menulis kode eksploitasi lengkap yang dapat dijalankan.
Masalah terletak pada logika verifikasi input transaksi Orchard. Secara tampak, pemeriksaan ini akan memverifikasi apakah input memenuhi aturan, tetapi sebenarnya tidak sepenuhnya menegakkan batasan tersebut. Penyerang yang membuat input palsu tetap dapat melewati verifikasi bukti zero-knowledge, sehingga dapat menciptakan ZEC dari ketiadaan, dan token palsu ini sulit dibedakan dari token yang sah.
Perbaikan selesai
Hornby menyatakan bahwa ia hanya menyelesaikan verifikasi di lingkungan lokal, lalu segera melaporkan masalah tersebut kepada ZODL yang bertanggung jawab atas pengembangan koordinasi Zcash, dan tidak melakukan serangan di jaringan utama. Ekosistem Zcash menerapkan perbaikan darurat pada 1 Juni untuk mencegah kerentanan ini dimanfaatkan lebih lanjut.
Namun, tim sekaligus mengakui bahwa kerentanan tersebut sebenarnya telah dapat dieksploitasi selama sekitar 4 tahun. Kesulitannya terletak pada fakta bahwa Orchard sendiri adalah kolam privasi, yang dirancang untuk menyembunyikan jumlah transaksi dan informasi peserta, sehingga pihak luar tidak dapat menentukan secara kriptografis apakah ada pencetakan tersembunyi di masa lalu.
Komunitas mengusulkan peningkatan
Untuk menangani risiko lanjutan, Shielded Labs sedang mengusulkan peluncuran peningkatan jaringan. Solusi ini mencakup penyebaran kolam privasi baru dan penerapan mekanisme verifikasi "turnstile accounting" untuk token dari Orchard.
Dengan pendekatan ini, token Orchard yang ada perlu melewati titik pemeriksaan yang dapat diverifikasi untuk mengidentifikasi apakah ada pasokan palsu. Rencana ini masih memerlukan dukungan tata kelola komunitas dan harus melalui proses peningkatan jaringan Zcash yang biasa. Proposal yang lebih rinci diharapkan akan diumumkan minggu depan.
Kemampuan audit AI menjadi perhatian
Selain rencana peningkatan, Shielded Labs juga menyatakan akan memulai pekerjaan verifikasi matematis terhadap seluruh sirkuit Orchard, serta merekrut kepala keamanan dan peneliti kriptografi. Kejadian ini juga memicu perhatian pasar terhadap kemampuan penelitian keamanan AI.
Claude Opus 4.8 dirilis secara publik pada 28 Mei, dan para peneliti menemukan kerentanan kritis yang telah ada selama beberapa tahun dalam waktu sekitar 24 jam setelah model tersebut diluncurkan. Seiring terus diperkenalkannya model yang lebih kuat, ritme serangan dan pertahanan terhadap protokol kripto kemungkinan akan semakin dipercepat.