Yazar: Kuri, Shenchao TechFlow
Zcash ($ZEC), en eski gizlilik odaklı kripto para birimi olarak, uzun süredir "doğrulanabilir gizlilik + sabit 21 milyon tedarik üst sınırı" ana hikayesini savunmaktadır.
Ancak son zamanlarda, henüz açıklanmamış en güçlü model Claude Opus4.8'in yardımıyla keşfedilen ciddi bir güvenlik açığı, bu güven temelini anında sarstı:
Zcash tasarımındaki Orchard gizlilik havuzu, sahte ZEC üretme ve artırma olasılığı barındırır.
Güvenlik araştırmacısı Taylor Hornby, Shielded Labs tarafından kripto protokolü denetimi için görevlendirildiğinde, Anthropic'ın yeni çıkardığı Claude Opus 4.8 modelini kullanarak yerel ortamda tamamen algılanamaz sonsuz miktarda sahte ZEC üretti.
Kusur, Orchard devresinin (yani işlem kuralları el kitabının) bir kuralının çok gevşek yazılması nedeniyle, kanıt motorunun sahte işlemler geçerli işlemler olarak doğrulamasıdır.
Sorun, 1-2 Haziran'da acil olarak düzeltilmiş ve 5 Haziran'da Zcash'in kurucusu Zooko, Shielded Labs ile birlikte tam olarak açıklandı. Açıklamadan 24 saat içinde ZEC fiyatı %26-36 düştü ve uzun pozisyonların güveni anında çöktü.
Daha da belirgin şekilde, ünlü trader Arthur Hayes (ZEC'yi "Kutsal Üçlü" ailesinin ikinci en büyük pozisyonu olarak listelemişti), tüm pozisyonunu kapatmayı açıkça onayladı. Nedeni ise güçlü bir gizlilik talebine dayalı bir endişeydi:
Olasılığı çok düşük olsa da, gizlilik karşıtı AI/hükümet/büyük şirket senaryosu, 'muhtemelen sorun olmayacak' değil, mükemmel olmayı gerektirir.
Piyasa tamamen şüphe içindeyken, Zcash Open Development Lab (ZODL) kurucusu ve CEO'su Josh Swihart (Zcash çekirdek geliştirme ekibinin gerçek lideri), açık bir itiraf ve affetme isteği gibi görünen bir başlıkla yanıt gönderdi:
Tekrar olmayacak.
Josh Swihart'ın gönderisinin tam Türkçe çevirisi şudur:
Bugün, Shielded Labs, mevcut Orchard uygulamasında son zamanlarda düzeltilen sahtecilik açıklarına karşı ikinci bir Zcash Orchard havuzu kurulmasını topluluğa öneriyor. İlkesel olarak, ikinci bir Orchard havuzu, Temmuz sonunda gerçekleşecek NU7 ağ yükseltmesinde hayata geçirilebilir.
İkinci bir Orchard havuzu oluşturulup oluşturulmaması konusunda sabit bir tutum benimsemiyorum. Daha önemli tartışma konusu şudur: Bu tür açıkların kalıcı olarak tekrar yaşanmaması için ne yapmalıyız?
Sean’in daha önce de söylediğinde olduğu gibi, en iyi cevap formel doğrulamadır (formal verification). Bu, sıradan biri için şu anlama gelir: Bir shielded (gizlilik korumalı) Zcash işlemi, protokol kurallarına sıkıca uyduğunu kanıtlayan bir “kanıt” içerir—bu kurallar, geçerli bir işlemin ne olduğunu tanımlayan “kurallar kitapçığı” (yani devre, circuit) içinde yer alır.
Orchard'ın bu açıklığı, kurallardan birinin çok gevşek yazılması nedeniyle, sahte bilgileri kabul edip yine de doğrulamayı başarıyordu. Sonuç olarak, sistem sahte işlemlerizi gerçekmiş gibi ikna edebilirdi—yani, kimse teorik olarak Orchard havuzunda ZEC sahteleştirebilirdi.
Bu, temel kriptografi veya kanıt oluşturma motorunun bir hatası değil, kural kitapçığının kendisinin bir eksikliği. Sean'in de dediği gibi, korumalı havuzlar miktarları ve geçmişleri gizler—bu tam olarak gizliliğin anlamıdır.
Ancak bunun nedeni, değerleri açık bir defter gibi doğrudan doğrulayamamanızdır. Tek garanti, her işlemin kurallara sıkı sıkıya uyduğu matematiksel ispatlardır. Sorun kurallar kitapçığında olduğundan, ispat motoru aslında önemsizdir; önemli olan kuralların nasıl yazıldığıdır.
Orchard'un kuralları çok karmaşıktır; hız için birçok özel durum uygulanmıştır, güçlü olsa da son derece karışık olup tamamen denetlenmesi zordur. Çok gevşek yazılmış bir kuralın tespiti zordur—bu sefer bile çok sayıda uzman düzeyinde güvenlik denetimi ve incelemeye rağmen kaçırılmıştır.
Formal verification bu sorunu çözebilir.
Matematiksel olarak insanların incelemesi gereken kısımları özlü ve okunabilir kurallar haline getirip, bilgisayarın tüm kurallar kitabının uyumunu tamamen kontrol etmesini sağlar. Şimdi AI araçları bu kanıtları yazmada yardımcı olabiliyor.
İşleri çok daha kolaylaştırıyor: Sadece küçük ve net bir spesifikasyona bakıp, kandırılamayan bir denetleyiciyi çalıştırmanız yeterli. Artık sorun olup olmadığını gözle “görmek” yerine, hiçbir sorun olmadığını kanıtlamak için kanıtları kullanıyoruz.
Güven, temel kriptografi varsayımlarına ve çok küçük bir spesifikasyona dayanmaktadır. Bu, şu anki endüstri standardıdır. Tachyon, formel doğrulama ile inşa edilmektedir ve Orchard'a kıyasla çok daha az istisna ve karmaşıklık içeren daha basit, daha tutarlı bir kural setini kullanır; tüm kural seti matematiksel olarak mükemmel bir şekilde doğrulanabilir.
Ancak Sean'ın da belirttiği gibi, mevcut Orchard devresi üzerinde zaten birkaç takım formel doğrulama yapıyor. Başarılı olursa, Tachyon'dan önce kısa sürede formel olarak doğrulanmış ikinci bir Orchard havuzu çıkarmak en iyi yol olabilir.
Tachyon daha temiz, ancak formel olarak doğrulanmış bir Orchard, bu tür açıkların tekrar yaşanmasını önleyen iyi bir geçiş çözümü olabilir. Sean Bowe'ye incelemesi ve görüşleri için teşekkür ederiz.
Josh'un yanıtı, güvenlik açıklarının ciddiyetini göz ardı etmeden, uzun vadeli çözümlere odaklandı: formel doğrulama (formal verification) ve daha sade bir sonraki nesil devre olan Tachyon.
Aslında kamu ilişkileri açısından, sorunu açıkça kabul etmek ve düzeltme önerisi sunmak hem teknik hem de duygusal olarak iyi bir seçimdir.
Yakın piyasa ortamında kripto büyük pazarı sürekli düşüş içindeyken, Zcash'in kendi sorunları, sahiplerinin teslim olmasına hız kazandırıyor; satım için gerekçe yok gibi görünse de, şimdi tam da böyle bir gerekçe ortaya çıktı mı?
Sonuç olarak, spekülasyon yapanlar teknik çözümün tamirini ilgilendirmeyebilir; siyah güvercin düşüşün katalizörüdür.
Hızlı düzeltme ve şeffaf açıklamalar artı puan getirir, ancak "tamamen masumiyet kanıtlanamaması" + büyük elverişli tarafların çıkışı, kısa vadeli hikaye ve fiyatı hala baskı altında tutacaktır. Uzun vadede, formel doğrulama hayata geçirilirse, Zcash'in "en sert gizlilikli kripto para" pozisyonunu yeniden kazanmasına yardımcı olabilir, ancak her şey zaman ister.