- Zcash đã tiết lộ một lỗ hổng nghiêm trọng trong hồ Orchard có thể cho phép tạo ra ZEC không giới hạn.
- Các nhà nghiên cứu đã phát hiện và vá lỗ hổng trong vòng vài ngày, và một bản nâng cấp mới đã được đề xuất.
- Arthur Hayes đã thoát toàn bộ vị thế ZEC sau khi công bố thông tin, khiến token giảm 33%.
Một vấn đề bảo mật nghiêm trọng trong hồ ẩn danh Orchard của Zcash đã kích hoạt phản ứng trên toàn mạng sau khi các nhà phát triển xác nhận lỗ hổng này có thể cho phép tạo ra ZEC giả không giới hạn bên trong hồ bảo mật.
Theo nhà sáng lập Zcash Zooko Wilcox-O’Hearn, lỗ hổng này được nhà nghiên cứu bảo mật Taylor Hornby phát hiện vào ngày 29 tháng Năm và được khắc phục thông qua bản cập nhật khẩn cấp hoàn thành vào ngày 2 tháng Sáu.
Lỗ hổng đã tồn tại kể từ khi Orchard ra mắt vào tháng 5 năm 2022. Hornby đã chứng minh một lỗ hổng hoạt động trong môi trường kiểm tra cục bộ, tạo ra ZEC giả mạo không giới hạn trong khi vẫn vô hình trước các phương pháp phát hiện bình thường.
Các nhà phát triển cho biết lỗ hổng tương tự có thể đã tạo ra số lượng đồng tiền giả không giới hạn trên mạng lưới thực tế nếu nó được triển khai trước khi vá lỗi.
Vấn đề bắt nguồn từ điểm yếu trong mạch mật mã của Orchard. Nói một cách đơn giản, hệ thống có thể bị lừa để chấp nhận dữ liệu giao dịch giả là hợp lệ, cho phép tạo ra các đồng tiền mới trong hồ bảo mật.
Privacy Tạo Ra Vấn Đề Kiểm Toán
Nỗi lo lớn nhất không chỉ nằm ở chính lỗi này. Vì Orchard được thiết kế để ẩn số dư và chi tiết giao dịch, các nhà phát triển không thể sử dụng các bằng chứng mật mã để xác định liệu có ai đã khai thác lỗ hổng này trước khi nó được sửa hay không.
Shielded Labs cho biết hiện không có cách nào chắc chắn để chứng minh dựa riêng trên dữ liệu blockchain rằng ZEC giả mạo đã không được tạo ra trong suốt bốn năm kể từ khi lỗ hổng tồn tại. Đồng thời, tổ chức này cũng cho rằng khả năng bị khai thác trước đó là ít có khả năng xảy ra.
Lỗ hổng này đã thoát khỏi hàng năm kiểm tra bởi các nhà mật mã học và chuyên gia kiểm toán. Shielded Labs cho biết phát hiện của Hornby được thực hiện trong một chương trình bảo mật được triển khai đặc biệt nhằm tìm ra các điểm yếu ẩn trước khi kẻ tấn công có thể khai thác.
Đã triển khai nâng cấp khẩn cấp
Sau khi nhận được thông báo, các kỹ sư từ Zcash Open Development Lab đã phối hợp phản ứng riêng tư với thợ mỏ và các sàn giao dịch. Một phân nhánh mềm khẩn cấp đã vô hiệu hóa các giao dịch Orchard vào ngày 2 tháng Sáu tại khối 3,363,426.
Một bản nâng cấp thứ hai, được gọi là NU6.2, đã khôi phục chức năng Orchard vào ngày 3 tháng Sáu tại khối 3,364,600 bằng cách sử dụng mạch đã được sửa chữa. Trong suốt cửa sổ nâng cấp, các giao dịch Orchard đã bị tạm dừng trong khi các giao dịch minh bạch và giao dịch Sapling vẫn tiếp tục hoạt động.
Trong khi đó, khả năng không thể chứng minh rằng các đồng tiền giả không bao giờ tồn tại trong Orchard vẫn là vấn đề trung tâm. Orchard hiện đang giữ hơn 4 triệu ZEC và đại diện cho phần lớn số tiền được lưu trữ trong các hồ riêng của Zcash.
Liên quan: Zcash đối mặt với việc tạm dừng ngay cả khi việc sử dụng quyền riêng tư được bảo vệ đang tăng mạnh
Đề xuất mới nhằm chứng minh tính toàn vẹn của nguồn cung
Shielded Labs hiện muốn giới thiệu một bản nâng cấp mạng khác nhằm xóa bỏ sự không chắc chắn xung quanh nguồn cung Orchard.
Đề xuất này sẽ tạo ra một hồ sơ được bảo vệ mới và yêu cầu tất cả các đồng tiền rời khỏi Orchard phải đi qua hệ thống kế toán turnstile. Mục tiêu là cho phép bất kỳ ai tự độc lập xác minh rằng không có ZEC giả mạo nào tồn tại.
Các nhà phát triển dự kiến sẽ công bố toàn bộ đề xuất trong những ngày tới.
Thị trường phản ứng khi Hayes rời vị thế
ZEC xóa sạch lợi nhuận trong tuần và giảm khoảng 33% trong 24 giờ, đồng thời ghi nhận mức giảm bảy ngày vào khoảng 25%. Đồng sáng lập BitMEX Arthur Hayes cho biết ông đã thanh lý toàn bộ vị thế ZEC sau khi xem xét lỗ hổng.
Hayes cho biết mặc dù ông tin rằng việc đúc tiền trái phép có lẽ là không khả thi, nhưng ông không thể chứng minh một cách mật mã rằng điều đó chưa bao giờ xảy ra. Đối với ông, sự không chắc chắn đó mâu thuẫn với lập luận đầu tư cốt lõi đối với các tài sản bảo mật.
Hayes cho biết ông vẫn mở cửa để mua lại ZEC nếu các bằng chứng trong tương lai củng cố thêm niềm tin vào tính toàn vẹn của nguồn cung mạng lưới.
Liên quan: Dự đoán giá Zcash (ZEC) 2026-2050: Zcash có đạt $1.000 sớm không?
Thông báo miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này chỉ mang tính chất tham khảo và giáo dục. Bài viết không cấu thành lời khuyên tài chính hay bất kỳ loại lời khuyên nào khác. Coin Edition không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh do việc sử dụng nội dung, sản phẩm hoặc dịch vụ được đề cập. Độc giả được khuyến nghị thận trọng trước khi thực hiện bất kỳ hành động nào liên quan đến công ty.