Команда розробників Zcash розкрила, що в мережі існувала серйозна вразливість у сховищі Orchard, яка теоретично дозволяла атакувати здатність створювати нескінченну кількість ZEC без виявлення. Відповідна проблема була терміново виправлена на початку цього тижня, але команда зазначила, що за допомогою криптографічних методів неможливо підтвердити, чи використовувалася ця вразливість на головній мережі до її виправлення.
Уразливість існувала з 2022 року
Shielded Labs, відповідальна за розкриття інформації, повідомила 5 червня, що ця проблема існувала з моменту включення Orchard у травні 2022 року і була усунена лише 2 червня. Раніше спостерігуване координоване оновлення мережі безпосередньо пов’язане з усуненням цієї вразливості.
Дослідник безпеки Тейлор Горнбі виявив цю проблему 29 травня під час довіреної перевірки безпеки та успішно створив працюючий експлойт у локальному тестовому середовищі. За повідомленням, вразливість виникла через недостатні обмеження в схемі Orchard, що дозволило неправильним вхідним даним пройти перевірку множення еліптичної кривої та сгенерувати підроблені ZEC.
Механізм конфіденційності збільшує складність перевірки
Розробники зазначили, що наразі немає доказів, що ця вразливість була використана до виправлення. Однак транзакції Orchard використовують механізми захисту приватності, через що зовнішній спостерігач не може перевірити кожну транзакцію, як це робиться в публічному реєстрі, і, відповідно, немає чіткого способу довести, що підроблені токени ніколи не потрапили в обіг.
Це означає, що, хоча проблема вже виправлена, цілісність пропозиції Zcash все ще залишається частково невизначеною. Shielded Labs зазначили, що команда вважає історичне використання цієї вразливості малоймовірним, зокрема через те, що її не виявили досвідчені криптографи протягом тривалого часу; після внутрішнього підтвердження проблеми вік для експлуатації швидко скоротився.
Команда оцінює майбутні оновлення мережі
У цьому розкритті також зазначено, що дослідники під час огляду використовували модель Opus 4.8 від Anthropic та спеціально розроблені AI-методи аудиту. Shielded Labs зазначила, що вразливість була виявлена всього через декілька днів після запуску нової моделі.
Команда зараз оцінює можливість запуску наступного оновлення мережі для додаткової перевірки повноти поставок Zcash та усунення сумнівів щодо підробки ZEC. Початковий план передбачає включення нового захищеного пулу та застосування перевірки «turnstile accounting» до токенів, що виходять з Orchard. Більше деталей очікується на наступному тижні.
- Дата виявлення: 29 травня 2026 року
- Невідкладне виправлення завершено: 2 червня 2026 року
- Дата розголошення: 5 червня 2026 року