Zcash geliştirme ekibi, ağdaki Orchard gizli havuzunda, saldırganların ZEC'nin sonsuz sayısını gizli bir şekilde sahtelemesine izin veren ciddi bir açıklığın bulunduğunu açıkladı. İlgili sorun bu haftanın başlarında acil olarak düzeltildi, ancak ekip, şifreleme yöntemleriyle açıklığın ana ağda kullanılıp kullanılmadığını doğrulayamayacağını belirtti.
Sızıntı 2022 yılından beri devam etmektedir
Şeffaf Laboratuvarları, sorunun 2022 Mayıs'ta Orchard'un etkinleştirilmesinden beri var olduğunu ve acil durum düzeltmesinin 2 Haziran'da tamamlandığını açıkladı. Daha önce görülen koordine ağ yükseltmeleri, bu güvenlik açığı düzeltmesiyle doğrudan ilişkiliydi.
Güvenlik araştırmacısı Taylor Hornby, 29 Mayıs'ta bir güvence altına alınmış güvenlik incelemesi sırasında sorunu tespit etti ve yerel test ortamında çalışır durumda bir kullanımda başarıyla oluşturdu. Açıklamaya göre, güvenlik açığı, Orchard devresindeki kısıtlamaların yetersizliğinden kaynaklanıyor ve bu da hatalı girdilerin eliptik eğri çarpma doğrulamasından geçmesine ve sahte ZEC üretmesine olanak tanıyor.
Gizlilik mekanizması denetim zorluğunu artırıyor
Geliştiriciler, bu güvenlik açıklarının tamir edilmesinden önce gerçek bir şekilde kullanıldığını gösteren hiçbir kanıt olmadığını belirtti. Ancak, Orchard işlemleri gizlilik koruma mekanizmasını kullanır ve dışarıdan açık bir defterdeki gibi her işlemi doğrulamak mümkün olmadığından, sahte token'ların asla dolaşıma girmedigini kanıtlamanın kesin bir yolu yoktur.
Bu, sorunun düzeltilmiş olmasına rağmen Zcash'in arz bütünlüğünde hala belirsizlikler bıraktığı anlamına gelir. Shielded Labs, bu açıklığın tarihsel olarak kullanılıp kullanılmadığının düşük olasılıkla olduğunu, nedenlerinden birinin uzun süre deneyimli kriptografi araştırmacıları tarafından fark edilmemiş olması; sorunun içsel olarak doğrulanmasından sonra ise istismar edilebilir pencerenin hızla kapanması olduğunu belirtti.
Takım, sonraki ağ yükseltmesini değerlendiriyor
Açıklamada, araştırmacıların inceleme sürecinde Anthropic'in Opus 4.8 modelini ve özelleştirilmiş AI destekli denetim yöntemlerini kullandığı da belirtildi. Shielded Labs, güvenlik açıklarının yeni modelin yayınından kısa bir süre sonra keşfedildiğini söyledi.
Takım, Zcash arzının tamamlığını doğrulamak ve sahte ZEC ile ilgili dış şüpheleri gidermek için bir sonraki ağ yükseltmesi başlatıp başlatmayacağını şu anda değerlendiriyor. İlk öneriler arasında yeni bir korumalı havuzun etkinleştirilmesi ve Orchard’tan çıkan varlıklar için “turnstile accounting” denetiminin uygulanması yer alıyor. Daha fazla ayrıntı önümüzdeki hafta açıklanacak.
- Keşif Tarihi: 29 Mayıs 2026
- Acil onarım tamamlandı: 2 Haziran 2026
- Açıklama Zamanı: 5 Haziran 2026