Zcash-Gründer warnt davor, dass Orchard Bug zu nic...

Zcash-Gründerin Zooko Wilcox hat eine kritische Schwachstelle im Orchard-Datenschutzpool des Protokolls aufgedeckt, die die unbegrenzte Erstellung gefälschter ZECs hätte ermöglichen können. Der Sicherheitsforscher Taylor Hornby entdeckte den Fehler am 29. Mai 2026 und meldete ihn sofort dem Zcash Open Development Lab. Bis zum 2. Juni wurde eine ökosystemweite Notfallreaktion abgeschlossen. Shielded Labs bestätigte, dass der Fehler real und vollständig ausnutzbar war. ZEC wird derzeit bei 443,05 $ gehandelt, was einem Rückgang von 29,0 % in den letzten 24 Stunden entspricht. Wilcox veröffentlichte zusammen mit Jason McGee und Taylor Hornby einen detaillierten Bericht über die Sicherheitslücke und die dadurch ausgelöste Reaktion. Der Offenlegung zufolge bestand der Fehler in einem unterbeschränkten Element des Orchard-Stromkreises. Dies ermöglichte falsche Eingaben in die Multiplikation elliptischer Kurven, während die Verifizierungsprüfungen der Schaltung dennoch bestanden wurden. Hornby hat einen vollständigen Exploit erstellt und ihn in einer lokalen Umgebung getestet. Der Test bestätigte, dass unbegrenzte, nicht nachweisbare gefälschte ZEC generiert werden konnten, ohne dass eine Warnung ausgelöst wurde. Hätte das gleiche Tool im Zcash-Mainnet ausgeführt, wäre gefälschtes ZEC direkt in einer Live-Wallet aufgetaucht. Die Schwachstelle bestand von der Aktivierung von Orchard im Mai 2022 bis zum 1. Juni 2026, einem Zeitraum von etwa vier Jahren. Wilcox räumte ein, dass es aufgrund der Datenschutzeigenschaften von Orchard keine kryptografische Methode gibt, um eine Ausnutzung während dieses Zeitraums zu bestätigen oder auszuschließen. Das Team erklärte: „Es gibt keine definitive Möglichkeit, allein mithilfe der Kryptographie festzustellen, ob eine solche Ausnutzung stattgefunden hat, bevor die Sicherheitslücke entdeckt und behoben wurde.“ Trotz dieser Unsicherheit zeigte sich Wilcox maßvoll zuversichtlich. Er schrieb: „Wir haben Taylor beauftragt, vor den Angreifern etwaige Schwachstellen zu finden, und genau das hat er getan.“ Er nannte die Fähigkeit des Fehlers, sich jahrelanger Prüfung durch führende Kryptographen zu entziehen, als weiteren Beweis dafür, dass die Entdeckung außergewöhnlicher Fähigkeiten und Werkzeuge erforderlich sei. Wilcox machte deutlich, dass das Vertrauen der Benutzer nicht allein auf der Einschätzung von Shielded Labs beruhen sollte. Das Team erklärte: „Wir glauben nicht, dass Benutzer sich auf unsere Einschätzung oder die einer anderen Person verlassen sollten.“ Zu diesem Zweck prüft die Organisation ein Netzwerk-Upgrade, das es jedem ermöglichen soll, die Integrität des Gesamtangebots von Zcash unabhängig zu überprüfen. Das vorgeschlagene Upgrade würde einen neuen abgeschirmten Pool bereitstellen und die Drehkreuzabrechnung für alle Münzen erzwingen, die derzeit im Orchard-Pool gehalten werden. Dieser Mechanismus würde es der Community ermöglichen, nachzuweisen, dass in Orchard keine gefälschten ZEC vorhanden sind. Ein detaillierter Folgebeitrag, in dem die Mechanismen und Kompromisse des Vorschlags dargelegt werden, wird für die folgende Woche erwartet. Jedes Netzwerk-Upgrade würde eine breite Community-Unterstützung erfordern und vor der Aktivierung den Standard-Governance-Prozess von Zcash durchlaufen. Wilcox stellte fest, dass Shielded Labs seine proaktive Sicherheitsarbeit bereits beschleunigt, indem es in Zusammenarbeit mit Hornby und Anthropic modernste KI-Tools einsetzt. Das Team fügte hinzu: „Wir verstärken unsere proaktive Sicherheitsforschung, einschließlich der Verwendung modernster KI-Tools, um Probleme zu finden, bevor es die Bösewichte tun.“ Zu den weiteren Schritten gehören ein formelles mathematisches Verifizierungsprojekt, das auf den Orchard-Kreis abzielt, sowie offene Suchen nach einem Sicherheitsleiter und einem Kryptographen. Wilcox lobte ZODL, die Zcash Foundation und das breitere Ökosystem für ihre schnelle Reaktion und erklärte, Zcash sei „gut positioniert, um sich zu erholen“.