Zcash призывает немедленно обновиться до Zebra 5.0.0 после устранения критической уязвимости Orchard

Zcash Foundation выпустила срочные обновления Zebra после обнаружения критической уязвимости в Orchard Zcash Foundation выпустила два срочных обновления Zebra на этой неделе после того, как инженеры обнаружили и устранили критическую уязвимость в схеме Orchard Action — компоненте Zcash, который проверяет защищённые транзакции в новейшем приватном пуле. Что произошло: - Zebra 4.5.3 активировала срочный мягкий форк на высоте блока мейннета 3 363 426. В краткосрочной перспективе это обновление отклоняло транзакции и блоки, содержащие действия Orchard, пока инженеры готовили исправленную схему. - После небольшого сбоя при первоначальном развертывании мягкий форк был запущен примерно в 02:00 UTC 2 июня. Фонд начал частную координацию с майнерами и биржами 31 мая, чтобы минимизировать риски до публичного раскрытия. - Zebra 5.0.0 затем активировала жёсткий форк NU6.2 на высоте блока мейннета 3 364 600. Это обновление снова включило действия Orchard с исправленной схемой и перенаправило доказательства Orchard на новый, привязанный к каждой схеме ключ проверки. Поскольку исправление цепочки нулевого знания требовало нового привязанного ключа проверки, был необходим жёсткий форк. Обнаружение и реакция: - Уязвимость была сообщена 29 мая независимым исследователем Тейлором Хорнби во время аудита протокола для Shielded Labs. Разработчики Zcash Daira-Emma Hopwood, Kris Nuttycombe и Jack Grigg (ZODL) подтвердили и устранили проблему в течение нескольких часов. - Фонд заявил, что уязвимость могла позволить недопустимые изменения состояния внутри пула Orchard и потенциальное двойное тратение, ограниченное этим пулом. Важно, что механизм turnstile Zcash сохранил общее количество ZEC, и «нет доказательств несанкционированного создания ценности». - Затронутыми компонентами стали более ранние версии halo2_gadgets, orchard, zcash_primitives и zcashd версий 5.0.0–6.12.3. Почему это важно: - Orchard — это новейший защищённый пул Zcash, запущенный с NU5 в 2022 году. Он использует Halo 2 (который устранил необходимость в доверенной настройке) и стал центральным элементом дорожной карты приватности Zcash. - Последние данные показывают рост использования защищённых пулов: примерно 30% совокупного запаса ZEC, по оценкам, было переведено в защищённые пулы, при этом Orchard содержит около 4,2 миллиона ZEC и обеспечивает основной рост в последнее время. - Фонд подчеркнул, что приватность пользователей не была нарушена во время инцидента. Sapling и прозрачные типы транзакций продолжали работать нормально, пока действия Orchard были приостановлены. - Активация NU6.2 — это лишь второе обновление протокола Zcash, выполненное по соображениям безопасности (с 2016 года). Необходимые действия: - Фонд «настоятельно рекомендует всем операторам нод как можно скорее обновиться до Zebra 5.0.0». Операторы, продолжающие использовать более старые версии, рискуют остаться на неверном форке после NU6.2; такие ноды могут потребовать полной синхронизации заново или восстановления из резервной копии, сделанной до активации. - Общий запас ZEC был подтверждён как целостный на протяжении всего процесса. Zcash Foundation опубликовала полное обновление с техническими деталями и рекомендациями для операторов нод. Если вы запускаете ноду или управляете инфраструктурой для Zcash, немедленно обновитесь до Zebra 5.0.0 и следуйте шагам по устранению проблемы, опубликованным Фондом.