Ekosistem Zcash mengesahkan bahawa kolam transaksi privasi Orchard mengandungi kelemahan serius yang membolehkan pemalsuan jumlah ZEC tanpa had. Pembaikan berkaitan telah selesai pada 1 Jun. Namun, disebabkan reka bentuk privasi Orchard, tidak mungkin untuk mengesahkan secara langsung dari rantai sama ada kelemahan tersebut pernah dimanfaatkan antara Mei 2022 hingga Jun 2026. Selepas berita ini diumumkan, ZEC sempat jatuh ke sekitar $250, dengan penurunan harian maksimum sebanyak 43%.
Lubang boleh memintas pengesahan
Lubang ini ditemui oleh penyelidik keselamatan Taylor Hornby pada 29 Mei. Hornby diarahkan oleh pasukan Zcash untuk menjalankan penyelidikan keselamatan, dan dengan bantuan Claude Opus 4.8 daripada Anthropic, beliau menulis kod pemanfaatan penuh yang berfungsi.
Masalah terletak pada logik pengesahan input transaksi Orchard. Secara lahiriah, pengesahan ini akan memeriksa sama ada input memenuhi peraturan, tetapi sebenarnya tidak menyelesaikan sekatan tersebut. Penyerang yang membina input palsu masih boleh lulus pengesahan bukti tanpa pengetahuan, dengan mencipta ZEC dari tiada, dan token palsu ini sukar dibezakan daripada token yang sah.
Pembaikan telah selesai
Hornby menyatakan bahawa beliau hanya menyelesaikan pengesahan dalam persekitaran tempatan, kemudian segera melaporkan masalah tersebut kepada ZODL yang bertanggungjawab atas pembangunan koordinasi Zcash, dan tidak melaksanakan serangan di rangkaian utama. Ekosistem Zcash melaksanakan pembaikan kecemasan pada 1 Jun untuk menghalang kelemahan ini daripada dimanfaatkan lagi.
Namun, pasukan juga mengakui bahawa kelemahan tersebut mungkin telah boleh dimanfaatkan selama kira-kira 4 tahun. Cabaran utama ialah Orchard itu sendiri adalah kolam privasi, yang dirancang untuk menyembunyikan jumlah transaksi dan maklumat peserta, yang juga bermakna pihak luar tidak dapat menentukan secara kriptografi sama ada terdapat pencetakan tersembunyi di masa lalu.
Komuniti mencadangkan peningkatan
Untuk mengendalikan risiko seterusnya, Shielded Labs mencadangkan pelaksanaan peningkatan rangkaian. Cadangan ini termasuk pelaksanaan kolam privasi baharu dan pengenalan mekanisme semakan "turnstile accounting" untuk token yang datang dari Orchard.
Mengikut pemikiran ini, token Orchard yang sedia ada perlu melalui titik semakan yang boleh diverifikasi untuk mengenal pasti adakah terdapat bekalan palsu. Rancangan ini masih memerlukan sokongan tadbir urus komuniti serta melalui proses peningkatan rangkaian biasa Zcash. Cadangan yang lebih terperinci dijangka akan diumumkan minggu depan.
Kemampuan audit AI menjadi perhatian
Selain pelan peningkatan, Shielded Labs juga menyatakan akan memulakan kerja pengesahan matematik keseluruhan litar Orchard, serta merekrut ketua keselamatan dan penyelidik kriptografi. Kejadian ini juga menimbulkan perhatian pasaran terhadap kemampuan penyelidikan keselamatan AI.
Claude Opus 4.8 dikeluarkan secara umum pada 28 Mei, dan penyelidik menemui lubang keamanan kritikal yang telah wujud selama bertahun-tahun dalam tempoh kira-kira 24 jam selepas model tersebut dilancarkan. Dengan pembaruan model yang lebih kuat yang berterusan, tempoh serangan dan pertahanan yang dihadapi oleh protokol kripto mungkin semakin dipercepat.