ME Newsの情報によると、6月5日(UTC+8)、Zcashの創設者であるZooko Wilcoxが投稿し、Zcash Orchardプールに以前、無制限かつ検出不可能な偽造ZECをOrchardプール内で生成できる深刻な偽造脆弱性が存在していたことを明らかにしました。この脆弱性は、セキュリティ研究者であるTaylor Hornbyが5月29日にAnthropic Opus 4.8モデルを用いて対象監査を行った際に発見され、Zcash Open Development Lab(ZODL)に報告されました。ZODLはその後、Zcashエコシステム全体を調整して緊急対応を実施し、関連する修正は6月2日に完了しました。
Taylor Hornby はローカルの regtest 環境で Opus 4.8 を使用して完全な攻撃プログラムを記述し、テスト時に検出不可能な無制限の偽造 ZEC を生成できる。このツールが Zcash メインネットで実行された場合、メインネットの Zcash ウォレットに検出不可能な無制限の偽造 ZEC を生成する可能性がある。この脆弱性は Orchard サーキット内の制約が不十分な要素に関連しており、攻撃者は楕円曲線乗算に任意の偽の入力を与えても、乗算チェックを通過できる。この脆弱性は 2022 年 5 月に Orchard が有効化されて以来存在し、2026 年 6 月 1 日に緊急パッチが展開されるまで修正されていなかった。
オーチャードのプライバシー機能とこの脆弱性の性質により、修復前にこの脆弱性が実際に悪用されたかどうかを、暗号学的手法のみで特定することは現在できません。ただし、Shielded Labs は、それ以前に悪用された可能性は低いと判断しており、ネットワークアップグレードを通じて新しいプライバシーポールを導入し、オーチャードポール内のすべてのトークンを精査することで、誰でも Zcash の供給の完全性を検証し、オーチャードポールに偽造された ZEC が存在しないことを証明できるようにする取り組みを進めています。
Orchard Poolの脆弱性の影響で、ZECは24時間で31%以上下落し、現在は410.5ドルです。(出典:Xプラットフォーム)