مجتمع Zcash يفكر في حل جديد للتحقق من ملكية الرمز المميز بعد خلل العقد الذكي الأخير
اقترحت Shielded Labs ترقية جديدة لشبكة Zcash من شأنها أن تسمح لأي شخص بالتحقق من عدم تضخيم إمدادات عملة الخصوصية سرًا، بعد الكشف عن أن الخلل الذي تم تصحيحه مؤخرًا في المجموعة المحمية الرئيسية للشبكة كان من الممكن أن يسمح بتزييف غير قابل للاكتشاف لـ $ ZEC.
قالت Shielded Labs، وهي منظمة غير ربحية تمول تطوير Zcash، وهي العملة المشفرة رقم 11 تقريبًا من حيث القيمة السوقية، في منشور مدونة، إن الثغرة الأمنية ظلت غير مكتشفة في مجمع Orchard منذ إطلاقها في مايو 2022 حتى أغلقها المهندسون هذا الأسبوع.
عكست ZEC $ مكاسب الأسبوع وانخفضت بنسبة 16٪ في الأيام السبعة الماضية، وانخفضت بنسبة 25٪ في الـ 24 ساعة الماضية، مع ظهور الخطأ، وفقًا لبيانات CoinGecko.
تمتلك Orchard، أحدث وأكبر مجموعة محمية في Zcash، أكثر من 4 ملايين دولار من ZEC، وهو الجزء الأكبر من حوالي 30٪ من العرض الموجود في حمامات السباحة الخاصة، وفقًا لمتتبعي الإمدادات المحمية.
تسلط الحلقة الضوء على مقايضة في قلب عملات الخصوصية. نفس التشفير الذي يخفي الأرصدة يجعل من المستحيل أيضًا إثبات ما إذا كان قد تم إساءة استخدام الخطأ من السلسلة وحدها. وقالت شركة Shielded Labs إنه لا توجد طريقة لتحديد ما إذا كان أي شخص قد استغل الخلل قبل الإصلاح، على الرغم من أنها اعتبرت أن الاستغلال المسبق غير مرجح.
كيف تم العثور على الخلل
اكتشف الباحث الأمني المستقل تايلور هورنبي الخلل في 29 مايو أثناء عملية تدقيق أجرتها Shielded Labs، وكشف عنه في ذلك المساء للمهندسين في Zcash Open Development Lab، أو ZODL، المجموعة التي تحافظ على البروتوكول.
وقالت شركة Shielded Labs إن هورنبي استخدم نموذج Anthropic's Opus 4.8، الذي قالت إنه تم إصداره في 28 مايو، جنبًا إلى جنب مع أداة الذكاء الاصطناعي المخصصة، لكتابة استغلال عمل أدى إلى توليد عدد غير محدود من دولارات ZEC المزيفة في بيئة اختبار محلية. وقالت شركة Shielded Labs إنه إذا تم تشغيلها على الشبكة الرئيسية، فإن نفس الأداة كانت ستنتج عددًا غير محدود وغير قابل للاكتشاف من عملة ZEC $.
كانت المشكلة عبارة عن خطأ في السلامة، مما يعني أنه من الممكن إجبار الشبكة على قبول معاملة كان ينبغي لها رفضها. وقالت شركة Shielded Labs إن السبب في ذلك هو جزء غير مقيد من دائرة Orchard التي تسمح للمهاجم بتمرير مدخلات خاطئة من خلال فحص المنحنى الإهليلجي ولا يزال لديه تصريح الفحص.
وصفت شركة Shielded Labs التأثير بأنه القدرة على إنشاء عملة ZEC غير محدودة وغير قابلة للاكتشاف داخل Orchard.
إجمالي العرض يبقى كما هو
وصفت مؤسسة Zcash، التي تبني برنامج Zebra المستخدم لتشغيل الشبكة، المخاطر في منشور نُشر يوم الأربعاء. وقالت إن الاستغلال كان من الممكن أن يسمح بالإنفاق المزدوج داخل Orchard، لكنه لم يكن من الممكن أن يؤدي إلى تضخيم إجمالي المعروض من دولارات ZEC، والذي تم تقييده بواسطة محاسبة "الباب الدوار" للشبكة. يحدد الباب الدوار مقدار القيمة التي يمكن أن تترك كل مجموعة إلى الكمية التي دخلتها.
وقالت المؤسسة إن الباب الدوار أكد أن إجمالي العرض ظل سليمًا وأنه لا يوجد دليل على خلق قيمة غير مصرح بها. تتفق كلتا المجموعتين على أنه تم اكتشاف الخطأ قبل أي استغلال معروف وأن خصوصية المستخدم لم تتأثر.
كيف تم طرح الإصلاح
بعد التنسيق الخاص مع القائمين بالتعدين والبورصات والذي بدأ في ٣١ مايو، قام المهندسون بشحن شوكة ناعمة طارئة أدت إلى تعطيل معاملات Orchard. تم تفعيله في 2 يونيو عند الكتلة 3,363,426. قالت المؤسسة إن ترقية هارد فورك تسمى NU6.2 أعادت تمكين Orchard بدائرة مصححة في 3 يونيو عند الكتلة 3,364,600. ووصفت الاستجابة بأنها الترقية الثانية المستندة إلى الأمان في تاريخ Zcash منذ إطلاق الشبكة في عام 2016. ويتم تتبع الإصلاح في الاستشارات الأمنية لشركة Zebra.
تم تجميد عمليات نقل Orchard أثناء النافذة بينما استمرت المعاملات الشفافة ومعاملات Sapling. لم يُظهر بعض مستكشفي الكتل لفترة وجيزة أي كتل جديدة بعد ذلك، مما أثار الارتباك حول تعطل الشبكة.
الترقية المقترحة
قالت شركة Shielded Labs إن NU6.2 يغلق الخطأ ولكنه لا يثبت أنه لم يتم العبث بإمدادات Orchard مطلقًا. يتمثل اقتراحها في نشر مجموعة محمية جديدة وتوجيه جميع العملات المعدنية التي تغادر Orchard من خلال محاسبة الباب الدوار، مما يسمح لأي شخص بالتحقق من عدم وجود عملة ZEC مزيفة.
مثل أي ترقية رئيسية، ستحتاج إلى دعم المجتمع وسيتعين عليها اجتياز عملية إدارة Zcash قبل التنشيط. وقالت شركة Shielded Labs إنها تخطط لنشر التفاصيل الأسبوع المقبل.
وقد أثار الرد المنسق انتقادات. جادل بعض المطورين والمعلقين بأن الإصلاح السري، الذي اعتمد على مجموعة صغيرة من المهندسين وعمال المناجم والبورصات، أظهر مدى مركزية الاستجابة لحالات الطوارئ للشبكة، وتساءلوا عما إذا كان من الممكن تدقيق المجمعات المحمية بشكل كامل.