05 июня 2026
Подготовили: Felix, PANews
5 июня основатель Zcash Зуко Уилкокс сообщил на платформе X, что исследователь безопасности Тейлор Хорнби 29 мая обнаружил чрезвычайно серьезную уязвимость подделки в пуле конфиденциальности Zcash Orchard. Теоретически эта уязвимость позволяет злоумышленникам обойти системные ограничения и бесконечно создавать поддельные токены ZEC, причем из-за криптографических свойств пула конфиденциальности такую атаку крайне сложно обнаружить обычными средствами. Более того, эта уязвимость существовала с момента активации Orchard в мае 2022 года.
Zcash Open Development Lab (ZODL) узнала об этом и срочно отреагировала, устранив уязвимость 1 М 1 Д. В настоящее время сеть Zcash восстановлена, а официальные и ончейн-данные показывают, что средства пользователей, конфиденциальные данные и общий лимит эмиссии в 21 миллион монет не пострадали существенно.
Несмотря на то, что Зуко подчеркнул, что вероятность подделки до исправления уязвимости (более четырех лет) невелика, рынок, похоже, не развеял опасений. Данные Coingecko показывают, что после объявления новости цена токена ZEC резко упала, снизившись более чем на 30% за 24 часа.
Использование ИИ для написания программ для обнаружения уязвимостей
Обнаружение этой уязвимости было осуществлено с использованием новейших технологий аудита безопасности с поддержкой ИИ, а также традиционных методов исследования безопасности.
28 М, вскоре после того, как Anthropic выпустила модель Opus 4.8, Тейлор использовал ее для высокоцелевого аудита Orchard. Тейлор использовал Opus 4.8 для написания полного эксплойта. При тестировании в локальной среде regtest программа смогла генерировать неограниченное количество необнаруживаемых поддельных ZEC. Если бы он запустил тот же инструмент в Майннет Zcash, он бы сгенерировал неограниченное количество необнаруживаемых поддельных ZEC в своем кошельке Zcash Майннет.
Эта уязвимость связана с недостаточно ограниченным компонентом в схеме Orchard. Из-за недостаточного ограничения этого компонента злоумышленник может ввести произвольное значение ошибки в умножение эллиптической кривой, и проверка умножения все равно пройдет.
Особенно сложной проблемой является то, что из-за особенностей конфиденциальности Orchard и характера самой уязвимости, невозможно определить с помощью криптографии, происходило ли такое использование до обнаружения и исправления уязвимости.
Была ли у ZEC злонамеренная дополнительная эмиссия?
Безопасны ли средства пользователей? Были ли они подвержены злонамеренному дополнительному выпуску? Это, пожалуй, самый волнующий рынок вопрос. Зооко считает, что существует несколько факторов, которые могут «доказать», что злонамеренного дополнительного выпуска не было.
Во-первых, эта уязвимость оставалась незамеченной многими криптографами на протяжении многих лет. Во-вторых, это открытие не было случайностью, а результатом целенаправленного поиска командой таких уязвимостей, которые злоумышленники обычно «не» знают. Кроме того, Тейлор использовал новейшие инструменты искусственного интеллекта, доступные только исследователям безопасности с белыми шляпами, а также сложный набор пользовательских фреймворков искусственного интеллекта и систем подсказок, опередив злоумышленников. После обнаружения уязвимости экосистема ZODL и Zcash быстро устранила ее, сократив окно для эксплуатации.
Следовательно, до исправления уязвимости немногие имели возможность и шанс обнаружить и использовать ее. Этот вывод также находит частичное подтверждение.
Генеральный директор Helius Мерт считает , что, хотя в краткосрочной перспективе невозможно напрямую доказать, был ли уязвимость использована, если в будущем будет инициирован поворотный пункт (turnstile) или миграция в новый проверяемый пул конфиденциальности, это может доказать существование проблемы подделки. Кроме того, недавнее увеличение использования передовых инструментов командой Zcash и привлечение внешних компаний по безопасности для проведения аудита также в некоторой степени повысили безопасность. Тот факт, что Zcash смогла обнаружить и немедленно устранить уязвимость, является результатом постоянной работы по обеспечению безопасности и даже хорошей новостью.
Но соучредитель BitMEX Артур Хейс придерживается противоположной точки зрения и написал статью, в которой заявил, что полностью распродал свои суммы ZEC. Хейс заявил, что, хотя вероятность злонамеренного майнинга крайне мала, ее невозможно формально доказать криптографическими методами. Утверждение о защите конфиденциальности от ИИ, правительств и крупных технологических компаний требует совершенства, а не крайне низкой вероятности . Он также заявил, что, если последующие предположения окажутся ложными, он не исключает возможности снова купить по более низкой цене.
Предлагается обновление сети, «доказательства» не подделываются
В настоящее время рынок неоднозначно относится к инциденту с уязвимостью пула Orchard в Zcash. Однако, чтобы доказать целостность предложения Zcash, Shielded Labs, некоммерческая организация по разработке ядра, ориентированная на экосистему Zcash, заявила, что сотрудничает с другими разработчиками Zcash для изучения предложения по обновлению сети. Цель этого предложения — позволить любому проверить целостность предложения Zcash и «доказать», что в пуле Orchard не существует поддельных Zcash. Предложение включает в себя развертывание нового защищенного пула и принудительное применение механизма «учета с пропускной способностью» ко всем токенам в пуле Orchard. Подробности предложения будут опубликованы на следующей неделе.
Кроме того, Shielded Labs заявила, что запускает проект, направленный на официальную проверку схемы Orchard, и попытается написать математические доказательства, «доказывающие», что в ней не существует никаких необнаруженных уязвимостей.
Удастся ли Zcash успешно преодолеть этот кризис уязвимости, пока неизвестно. Однако процесс разрешения этого кризиса послужит важным ориентиром для практики безопасности в области криптографической конфиденциальности.
Читайте также: Вариант: Биткойн, Эфириум и ZCash с высокой вероятностью станут основными способами хранения стоимости
Под заказ
В наличии
