Команда разработчиков Zcash сообщила, что в сети существовал серьезный漏洞 в скрытом пуле Orchard, который теоретически позволял злоумышленникам подделывать бесконечное количество ZEC без обнаружения. Проблема была срочно устранена в начале этой недели, однако команда отметила, что с помощью криптографических методов невозможно подтвердить, использовался ли漏洞 на основном сети до его устранения.
Уязвимость существовала с 2022 года
Shielded Labs, ответственная за раскрытие информации, сообщила 5 июня, что эта проблема существовала с момента включения Orchard в мае 2022 года и была устранена только 2 июня. Ранее наблюдаемые координированные обновления сети напрямую связаны с устранением этой уязвимости.
Исследователь безопасности Тейлор Хорнби обнаружил эту проблему 29 мая во время проведенного аудита безопасности и успешно создал рабочий эксплойт в локальной тестовой среде. Согласно раскрытию, уязвимость возникла из-за недостаточных ограничений в схеме Orchard, что позволило неверным входным данным проходить проверку умножения на эллиптической кривой и генерировать поддельные ZEC.
Механизм конфиденциальности усложняет проверку
Разработчики заявили, что на данный момент нет доказательств того, что уязвимость была использована до устранения. Однако транзакции Orchard используют механизм защиты конфиденциальности, поэтому внешние наблюдатели не могут проверять каждую транзакцию, как это делается в открытой книге, и, соответственно, нет четкого способа подтвердить, что поддельные токены никогда не попадали в обращение.
Это означает, что, хотя проблема уже устранена, целостность предложения Zcash все еще оставляет неопределенные аспекты. Shielded Labs отметила, что команда сочла историческое использование уязвимости маловероятным, одной из причин чего является то, что уязвимость долгое время не была обнаружена опытными криптографами; после внутреннего подтверждения проблемы окно для эксплуатации быстро сократилось.
Команда оценивает последующие обновления сети
Это раскрытие также упоминает, что исследователи использовали модель Opus 4.8 от Anthropic и пользовательские методы AI-помощи при аудите. Shielded Labs заявила, что уязвимость была обнаружена вскоре после выпуска новой модели.
Команда в настоящее время оценивает возможность запуска последующего обновления сети для дальнейшей проверки полноты предложения Zcash и устранения сомнений со стороны внешних сторон относительно поддельных ZEC. Предварительный план включает включение нового защищенного пула и применение проверки «turnstile accounting» к токенам, выходящим из Orchard. Более подробная информация будет опубликована на следующей неделе.
- Время обнаружения: 29 мая 2026 года
- Срочное устранение завершено: 2 июня 2026 года
- Время раскрытия информации: 5 июня 2026 года