מפתחי Zcash תיקנו פגם קריטי בבריכת Orchard הממוגנת, שחוקר אבטחה הראה כי יכול לאפשר זיוף של היצע בלתי מוגבל של ZEC מזויף. האסימון צנח ביותר מ-40% כאשר החשיפה נודעה.
Zcash מתקן באג קריטי שאיפשר הטבעה בלתי מוגבלת של ZEC מזויפים בזמן שהמחיר צונח ב-41%
נכתב ע"י
שתף
נקודות עיקריות
פגם זיוף שהוסתר מאז 2022
מייסד Zcash, זוקו וילקוקס, אישר כי חוקר האבטחה טיילור הורנבי חשף פגיעות לזיוף ב-Orchard, מאגר הפרטיות המרכזי של הרשת, וחשף זאת בפניו באופן פרטי ב-29 במאי. הבאג יכול היה לשמש ליצירת מטבעות ZEC מזויפים בלתי ניתנים לזיהוי, שהרשת הייתה מקבלת כאמיתיים, בעוד ההונאה נותרת בלתי נראית בתוך הבריכה הממוגנת.
הורנבי לא הסתפק בתיאוריה ובסיוע מודל בינה מלאכותית, הוא גיבש ניצול מלא ויצר מספר בלתי מוגבל של ZEC מזויף בבדיקות מקומיות. החשיפה הפילה את ZEC ב-40% ביום אחד, כאשר המפתחים חשפו לאחר מכן שהפגם היה קיים מאז השקת בריכת Orchard במאי 2022 (נותר בלתי מזוהה במשך כארבע שנים ושרד ביקורות חוזרות של מומחים שמעולם לא הבחינו בו).
מכיוון ש-Orchard היא מערכת ממוגנת לחלוטין, לחשיפה היה עוקץ חריג, כלומר, אין דרך קריפטוגרפית להוכיח שהבאג מעולם לא נוצל. אותן ערבויות פרטיות שהופכות את Zcash לאטרקטיבית עבור משתמשים שרוצים עסקאות חסויות גם הופכות את הביקורת על ההיצע הממוגן לבלתי אפשרית בכל הנוגע למטבעות מזויפים שהוטבעו לפני שהתיקון הוטמע. בפנקס שקוף כמו ביטקוין, כל אחד יכול לוודא שההיצע תואם את כללי הפרוטוקול; בבריכה ממוגנת, הוודאות הזו היא בדיוק מה שמוקרב לטובת פרטיות.
כיצד המפתחים הגיבו
הורנבי דיווח על הבעיה ל-Zcash Open Development Lab, שתיאמה תגובת חירום בין ארנקים, בורסות ומפעילי צמתים לפני ששחררה תיקון ב-2 ביוני. בפוסט מפורט בפורום קהילת Zcash, הצוות עבר על הפגיעות ופרט את הצעדים הבאים, כולל הצעות לחיזוק אימות ההיצע כך שפגם דומה יוכל להתגלות ולהיות מוכל במהירות רבה יותר בעתיד.
למרות החומרה, המפתחים קראו לשמור על קור רוח, כאשר Shielded Labs אמרה שהיא אינה “מודאגת יתר על המידה” מכך שזיוף אכן התרחש, תוך נימוק שהבאג שרד שנים של סקירה בידי כמה מהקריפטוגרפים המוכשרים בעולם מבלי שיימצא או ינוצל.
בכל מקרה, התזמון מביך עבור סקטור הפרטיות, שבילה חלק ניכר מ-2026 תחת אור הזרקורים. Bitcoin.com News דיווח בחודש שעבר כי אסימוני פרטיות זינקו על רקע דחיפה עולמית נגד מעקב פיננסי, כאשר ZEC היה בין הבולטים. האסימון זינק מוקדם יותר במחזור מעבר ל-$600, ובשלב מסוים עקף את מונרו בשווי השוק, לפני שהבהלה סביב Orchard מחקה חלק מהרווחים הללו.
מה המשמעות של הבאג עבור מחזיקי ZEC
עבור מחזיקים, העלות המיידית הייתה במחיר, כאשר ZEC השיל בערך שליש מערכו בתוך יום, וביטל חלק משמעותי מראלי שהפך אותו לאחד מנכסי הקריפטו בעלי הביצועים הטובים ביותר השנה. הבעיה הקשה יותר היא תדמיתית, שכן כל ההצעה של מטבע פרטיות נשענת על ודאות מתמטית, והבטחה בנוסח “אנו בטוחים במידה סבירה שאף אחד לא זייף” רכה יותר מהערבויות האטומות שהקטגוריה בדרך כלל מפרסמת לקונים.
הטיעון הנגדי הוא שתהליך החשיפה עבד כמתוכנן, שכן חוקר עצמאי מצא את הפגם ודיווח עליו לפני כל ניצול מאומת. בנוסף, גם רשתות גדולות מביטקוין ועד את’ריום חוו בעבר באגים חמורים (שכולם התגלו ותוקנו לפני שניתן היה להפוך אותם לנשק).
המבחן של Zcash כעת הוא האם שדרוגי אימות ההיצע המתוכננים שלה יכולים להפוך כמעט-אסון מפחיד לניצחון אמינות במקום לכתם מתמשך.
עמיתות הפרטיות של Zcash רכבו השנה על אותו גל ביקוש, כאשר ZEC ו-DASH הובילו ראלי מגזרי רחב שהעלה בחדות את שווי השוק המצרפי. גם עניין מוסדי הלך ונבנה, כאשר Grayscale התקדמה לעבר מוצר ZEC מפוקח.
האם פרשת Orchard תהפוך להערת שוליים או לנקודת מפנה תלוי במה שהמפתחים ישחררו בהמשך ובשאלה האם השוק יתייחס לבאג שתוקן ושככל הנראה לא נוצל כיריית אזהרה או כסיבה לעזוב.
