ระบบนิเวศของ Zcash ยืนยันว่ามีช่องโหว่ร้ายแรงที่อนุญาตให้ปลอมแปลง ZEC ได้ไม่จำกัดจำนวนในบ่อน้ำประวัติการซื้อขายส่วนตัว Orchard การแก้ไขที่เกี่ยวข้องได้รับการดำเนินการเสร็จสิ้นเมื่อวันที่ 1 มิถุนายน อย่างไรก็ตาม เนื่องจากออกแบบเพื่อความเป็นส่วนตัวของ Orchard จึงไม่สามารถยืนยันได้โดยตรงจากบล็อกเชนว่าช่องโหว่นี้เคยถูกใช้ประโยชน์ระหว่างเดือนพฤษภาคม 2022 ถึงมิถุนายน 2026 หลังจากข่าวดังกล่าวเปิดเผย ZEC ร่วงลงใกล้ระดับ 250 ดอลลาร์สหรัฐ โดยมีการลดลงสูงสุดในวันนั้นถึง 43%
ช่องโหว่สามารถข้ามการตรวจสอบได้
ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Taylor Hornby เมื่อวันที่ 29 พฤษภาคม Hornby ได้รับมอบหมายจากทีม Zcash ให้ทำการวิจัยด้านความปลอดภัย และได้รับความช่วยเหลือจาก Claude Opus 4.8 ของ Anthropic ในการเขียนโค้ดการใช้งานที่ทำงานได้อย่างสมบูรณ์
ปัญหาอยู่ที่ตรรกะการตรวจสอบข้อมูลการเข้าทำรายการของ Orchard การตรวจสอบนี้ดูเหมือนจะยืนยันว่าข้อมูลการเข้าทำรายการสอดคล้องกับกฎเกณฑ์ แต่จริงๆ แล้วไม่ได้บังคับใช้ข้อจำกัดอย่างแท้จริง ผู้โจมตีสามารถสร้างข้อมูลการเข้าทำรายการปลอมและยังสามารถผ่านการตรวจสอบหลักฐานความรู้เป็นศูนย์ได้ ทำให้สามารถสร้าง ZEC ขึ้นมาใหม่โดยไม่มีพื้นฐาน และเหรียญปลอมเหล่านี้ยากที่จะแยกแยะจากเหรียญที่ถูกต้อง
การซ่อมแซมเสร็จสมบูรณ์
ฮอร์นบีกล่าวว่า เขาได้ดำเนินการตรวจสอบเฉพาะในสภาพแวดล้อมท้องถิ่นเท่านั้น แล้วจึงเปิดเผยปัญหาทันทีต่อ ZODL ซึ่งรับผิดชอบการพัฒนาอย่างประสานงานของ Zcash โดยไม่ได้ดำเนินการโจมตีบนเน็ตเวิร์กหลัก ระบบนิเวศ Zcash ได้ปรับใช้การแก้ไขฉุกเฉินเมื่อวันที่ 1 มิถุนายน เพื่อป้องกันไม่ให้ช่องโหว่นี้ถูกใช้ประโยชน์ต่อไป
อย่างไรก็ตาม ทีมงานยังยอมรับว่าช่องโหว่นี้อาจถูกใช้ประโยชน์มาแล้วประมาณ 4 ปี ความยากอยู่ที่ Orchard เองเป็นกลุ่มความเป็นส่วนตัว ซึ่งมีเป้าหมายในการซ่อนข้อมูลจำนวนธุรกรรมและตัวตนของผู้เข้าร่วม ทำให้ภายนอกไม่สามารถตรวจสอบได้ด้วยวิธีการเข้ารหัสว่าเคยมีการเพิ่มอุปทานแบบแอบซ่อนในอดีตหรือไม่
ชุมชนเสนอให้ดำเนินการอัปเกรด
เพื่อจัดการกับความเสี่ยงในอนาคต Shielded Labs กำลังเสนอให้เริ่มต้นการอัปเกรดเครือข่าย แผนการรวมถึงการปรับใช้สระความเป็นส่วนตัวใหม่ และการนำกลไกการตรวจสอบ “turnstile accounting” มาใช้กับโทเค็นที่มาจาก Orchard
ตามแนวทางนี้ โทเค็น Orchard ปัจจุบันต้องผ่านจุดตรวจสอบที่สามารถยืนยันได้ เพื่อระบุว่ามีการปลอมแปลงอุปทานหรือไม่ แผนการนี้ยังต้องได้รับการสนับสนุนจากการบริหารจัดการของชุมชน และผ่านกระบวนการอัปเกรดเครือข่ายมาตรฐานของ Zcash ข้อเสนอที่ละเอียดยิ่งขึ้นคาดว่าจะเปิดเผยในสัปดาห์หน้า
ความสามารถในการตรวจสอบด้วยปัญญาประดิษฐ์ได้รับความสนใจ
นอกจากแผนการอัปเกรดแล้ว Shielded Labs ยังระบุว่าจะเริ่มงานตรวจสอบทางคณิตศาสตร์สำหรับวงจร Orchard ทั้งหมด และรับสมัครผู้รับผิดชอบด้านความปลอดภัยและนักวิจัยด้านคริปโตกราฟี เหตุการณ์นี้ยังกระตุ้นความสนใจของตลาดต่อความสามารถในการวิจัยด้านความปลอดภัยของ AI
Claude Opus 4.8 ได้เปิดตัวอย่างเป็นทางการเมื่อวันที่ 28 พฤษภาคม และนักวิจัยได้ค้นพบช่องโหว่สำคัญที่มีอยู่มานานหลายปีภายในประมาณ 24 ชั่วโมงหลังจากที่โมเดลถูกเปิดใช้งาน พร้อมกับการเปิดตัวโมเดลที่แข็งแกร่งขึ้นอย่างต่อเนื่อง จังหวะการโจมตีและป้องกันของโปรโตคอลคริปโตอาจเร่งความเร็วขึ้นอีก