Основатель Zcash предупреждает, что ошибка Orchard...

Основатель Zcash Зуко Уилкокс раскрыл критическую уязвимость в пуле конфиденциальности протокола Orchard, которая могла сделать возможным неограниченное создание поддельных ZEC. Исследователь безопасности Тейлор Хорнби обнаружил уязвимость 29 мая 2026 года и немедленно сообщил о ней в лабораторию открытой разработки Zcash. Ко 2 июня было завершено реагирование на чрезвычайную ситуацию в масштабах всей экосистемы. Shielded Labs подтвердила, что ошибка реальна и полностью пригодна для использования. ZEC в настоящее время торгуется на уровне $443,05, что на 29,0% ниже за последние 24 часа. Уилкокс вместе с Джейсоном МакГи и Тейлором Хорнби опубликовал подробный отчет об уязвимости и реакции, которую она вызвала. Согласно раскрытию, дефект существовал в недостаточно ограниченном элементе схемы Orchard. Это позволяло вводить ложные входные данные при умножении эллиптической кривой, при этом проходя проверочные проверки схемы. Хорнби создал полный эксплойт и протестировал его в локальной среде. Тест подтвердил, что можно создавать неограниченное количество необнаружимых поддельных ZEC без каких-либо предупреждений. Если бы тот же инструмент работал в сети Zcash, поддельный ZEC появился бы прямо в реальном кошельке. Уязвимость присутствовала с момента активации Orchard в мае 2022 года по 1 июня 2026 года, то есть примерно в четыре года. Уилкокс признал, что из-за свойств конфиденциальности Орчарда не существует криптографического метода, позволяющего подтвердить или исключить эксплуатацию в течение этого периода. Команда заявила: «Не существует однозначного способа определить, используя только криптографию, произошла ли такая эксплуатация до того, как уязвимость была обнаружена и устранена». Несмотря на эту неопределенность, Уилкокс выразил сдержанную уверенность. Он написал: «Мы наняли Тейлора, чтобы он нашел любые уязвимости раньше злоумышленников, и это именно то, что он сделал». В качестве еще одного доказательства того, что для обнаружения требуются исключительные навыки и инструменты, он назвал способность ошибки уклоняться от многолетнего изучения со стороны ведущих криптографов. Уилкокс ясно дал понять, что доверие пользователей не должно основываться только на оценке Shielded Labs. Команда заявила: «Мы не считаем, что пользователи должны полагаться на нашу оценку или чью-либо еще». С этой целью организация изучает возможность обновления сети, позволяющего любому независимо проверить целостность всех ресурсов Zcash. Предлагаемое обновление предполагает развертывание нового защищенного пула и обеспечение принудительного учета турникетов для всех монет, которые в настоящее время хранятся в пуле Orchard. Этот механизм позволит сообществу доказать отсутствие поддельных ZEC в Orchard. Подробный пост с описанием механики и компромиссов предложения ожидается на следующей неделе. Любое обновление сети потребует широкой поддержки сообщества и перед активацией должно пройти стандартный процесс управления Zcash. Уилкокс отметил, что Shielded Labs уже ускоряет свою активную работу по обеспечению безопасности, используя самые современные инструменты искусственного интеллекта в партнерстве с Hornby и Anthropic. Команда добавила: «Мы удваиваем активные исследования в области безопасности, в том числе используя самые современные инструменты искусственного интеллекта, чтобы обнаруживать проблемы до того, как это сделают злоумышленники». Дополнительные шаги включают формальный проект математической проверки, нацеленный на схему Орчард, и открытый поиск главы службы безопасности и криптографа. Уилкокс поблагодарил ZODL, Zcash Foundation и более широкую экосистему за их быструю реакцию, заявив, что Zcash «имеет хорошие возможности для восстановления».