Zcash ekosistemi, gizlilik odaklı işlem havuzları Orchard'da sonsuz sayıda ZEC üretilebilecek ciddi bir açıklığa sahip olduğunu doğruladı. İlgili onarım 1 Haziran'da tamamlandı; ancak Orchard'un gizlilik tasarımı nedeniyle, 2022 Mayıs ile 2026 Haziran arasında bu açıklığın kullanılıp kullanılmadığı doğrudan zincir üzerinde doğrulanamıyor. Bilginin açıklanmasının ardından ZEC, 250 dolar civarına düşerek gün içinde en büyük %43'lük düşüşü yaşadı.
Güvenlik açıkları doğrulamayı atlayabilir
Bu güvenlik açıklaması, güvenlik araştırmacısı Taylor Hornby tarafından 29 Mayıs'ta keşfedildi. Hornby, Zcash ekibi tarafından güvenlik araştırması için görevlendirildi ve Anthropic'in Claude Opus 4.8 desteğiyle çalışır durumda tam bir kullanımdan yararlanma kodu yazdı.
Sorun, Orchard'un işlem girdileri için bir doğrulama mantığında yer alıyor. Görünüşte bu kontrol, girdilerin kurallara uygun olup olmadığını doğruluyor gibi görünse de, aslında kısıtlamalar tam olarak uygulanmıyor. Saldırganlar, sahte girdiler oluşturarak sıfır bilgi kanıtı doğrulamasını geçebilir ve bu sayede rastgele ZEC üretirler; bu sahte varlıklar, normal varlıklardan ayırt edilemez.
Onarım tamamlandı
Hornby, yerel ortamda yalnızca doğrulama gerçekleştirdiğini ve sorunu hemen Zcash'in koordinasyon geliştirme sorumlusu ZODL'e bildirdiğini, ana ağda bir saldırı gerçekleştirmediğini belirtti. Zcash ekosistemi, 1 Haziran'da acil bir onarım uygulayarak bu zafiyetin daha fazla kullanılamamasını sağladı.
Ancak ekip, açıklığın aslında yaklaşık 4 yıl boyunca istismar edilebilir durumda olabileceğini de kabul etti. Zorluk, Orchard'ın kendisinin gizlilik havuzu olması ve tasarım amacı, işlem tutarlarını ve katılımcı bilgilerini gizlemektir; bu da geçmişte gizli bir enflasyon olup olmadığını kriptografik yollarla belirlemeyi imkânsız hale getirir.
Topluluk, yükseltiyi ileri sürmektedir
Sonraki riskleri yönetmek için Shielded Labs, bir ağ yükseltmesi başlatmayı öneriyor. Öneri, yeni bir gizli havuzun dağıtımı ve Orchard'tan gelen varlıklar için bir “turnstile accounting” denetim mekanizmasının uygulanmasını içeriyor.
Bu düşünceye göre, mevcut Orchard tokenları, sahte arzın var olup olmadığını belirlemek için doğrulanabilir bir kontrol noktası geçirmelidir. Bu öneri, topluluk yönetimi desteği almalı ve Zcash'in standart ağ yükseltme sürecini tamamlamalıdır. Daha ayrıntılı öneri önümüzdeki hafta açıklanacaktır.
AI denetim yetenekleri dikkat çekiyor
Yükseltme planının dışında, Shielded Labs, Orchard devresinin tamamı için matematiksel doğrulama çalışması başlatmayı ve güvenlik sorumlusu ile kriptografi araştırmacıları istihdam etmeyi belirtti. Bu olay, AI güvenlik araştırmaları yetkinliği üzerine piyasa ilgisini de uyandırdı.
Claude Opus 4.8, 28 Mayıs'ta kamuoyuna açıklandı ve araştırmacılar, modelin başlatılmasından yaklaşık 24 saat içinde, yıllardır var olan bu kritik açığı keşfetti. Daha güçlü modellerin sürekli çıkarılmasıyla, kripto protokollerine yönelik saldırı ve savunma ritmi daha da hızlanabilir.