Zooko、Shielded Labs、Zcashコミュニティの公開されたタイムラインによると、Taylorは5月29日に Orchardの回路に対して定向的な安全性審査を行った際に異常を発見し、すぐに脆弱性を非公開でZcash Open Development Lab(ZODL)に報告した。Shielded Labsは、スイスに本拠を置き、寄付によって運営される独立したZcashエコサポート組織であり、長期にわたりZcashのプロトコル開発、安全性、ネットワークの持続可能性に関わっている。Zcash FoundationやZODLには属していない。
ZEC暴落超过30%的背后:一個無法證明是否被利用過的「無限增發」漏洞
原文タイトル:ZEC 暴落超30%背后:証明できない「無限増発」脆弱性
原文著者:律動BlockBeats
原文出典:
転載:火星财经
TL;DR
6月5日、Zcashの創設者Zooko Wilcoxは稀な安全性の振り返り長文を公開した。
記事によると、安全研究者Taylor Hornbyは5月29日に、Zcashの最新世代プライバシー池 Orchardに深刻な偽造脆弱性を発見した。攻撃者は本来検証を通過すべきでない取引を構築し、 Orchard内部で無限かつ検出不能な偽造ZECを生成できる。
これは理論上のリスクにとどまらない。Taylorはローカルテスト環境で完全な悪用プログラムを作成し、実際に偽造ZECを生成した。もし同じプログラムがメインネットに展開されれば、攻撃者は理論上自分のメインネットウォレットで無限の偽造資産を生成可能だ。
情報公開後、ZECは一時30%以上下落した。CoinMarketCapのデータによると、ZECは24時間以内に最低408.39ドルまで下落し、同期の高値610.47ドルから約3分の1の下落となった。残念ながら、これは暗号通貨界隈で近年稀に見る資産効果の良い対象の一つだったが、この脆弱性によって完全に崩された。
結果だけを見ると、これはまたおなじみの暗号セキュリティ事故のように見える:脆弱性が発見され、開発者が緊急修正し、市場がパニックに陥る。
しかし、 Orchard事件の本当に厄介な点は、脆弱性はすでに修復されたにもかかわらず、Zcashコミュニティが直接答えられない、より敏感な別の問題が存在することだ。
過去4年間で、すでに誰かがこの脆弱性を悪用したことがあるのか?
緊急修復は4日間で完了し、 Orchardは一時停止
Orchardは、2022年にZcashが導入した新世代のプライバシー支払いプロトコルであり、現在Zcashの主要なプライバシー池の一つだ。ユーザーは残高や取引金額、資金の流れを隠すことができ、ゼロ知識証明を通じて取引がルールに従っていることをネットワークに証明できる。
Zooko、Shielded Labs、Zcashコミュニティの公開されたタイムラインによると、Taylorは5月29日に Orchardの回路に対して定向的な安全性審査を行った際に異常を発見し、すぐに脆弱性を非公開でZcash Open Development Lab(ZODL)に報告した。Shielded Labsは、スイスに本拠を置き、寄付によって運営される独立したZcashエコサポート組織であり、長期にわたりZcashのプロトコル開発、安全性、ネットワークの持続可能性に関わっている。Zcash FoundationやZODLには属していない。
ZODLのエンジニアは報告を受けた数時間以内に問題の存在を確認し、修正策の模索を開始した。コードのパッチを直接公開すると脆弱性の原理が露呈する恐れがあったため、まず Orchardの新規作成を停止し、既存の資金の支出も禁止した。
開発者、マイナー、ノード運営者、取引所、インフラサービス提供者と調整しながらアップグレードを進め、6月2日に緊急ソフトフォークを実施。その後、Zcashはハードフォークによる Orchard回路の検証鍵のアップデートを行い、6月3日に Orchardの機能を復旧した。透明アドレスやSaplingプライバシー池はこの期間も引き続き稼働していた。
脆弱性の公開から修復完了まで、わずか数日だった。緊急対応の速度を考慮すれば、かなり成功した対応と言える。
しかし、市場は脆弱性修復によって平静を取り戻さなかった。なぜなら、修復は未来の問題を解決しただけであり、過去の問題には触れていないからだ。
市場が懸念しているのは、攻撃が今もなお起こる可能性ではなく、すでに起こった可能性だ。
普通のセキュリティ事故は、比較的明確な損失規模が存在する。スマートコントラクトの盗難では、攻撃者がどれだけ資産を奪ったか追跡できる。クロスチェーンブリッジの脆弱性も、資金の流れや影響を受けたアドレスを把握できる。
しかし、 Orchard事件は異なる。
Shielded Labsの説明によると、この脆弱性は Orchard内部で無限かつ検出不能な偽造ZECを生成できるという。 Orchard自体がプライバシー属性を持つため、外部から暗号学的手法だけでは、修復前に誰かがこの攻撃経路を利用したかどうかを正確に証明できない。
これは、市場にとって確定的な損失額ではなく、定量化しにくい不確実性を意味する。
もし過去に誰かがこの脆弱性を発見し、悪用していたとすれば、 Orchard内部にはすでに偽造ZECが存在しているのか?もし存在すれば、その規模はどれほどか?これらの資産は今もプライバシー池に留まっているのか?正常な取引を通じて徐々に流出したのか?
さらに重要なのは、このリスクウィンドウは5月29日から始まったわけではないことだ。Shielded Labsは、この脆弱性は Orchardが2022年5月に稼働して以来ずっと存在し、2026年6月の緊急修復まで続いていたと述べている。つまり、問題はほぼ4年間潜伏していたことになる。
市場が本当に懸念しているのは、5月29日から6月2日までの間に何が起きたかではなく、過去4年間において、直接観測できない異常がすでに起きていた可能性だ。
これが、ZECが30%以上暴落した核心的な理由だ。
市場が売ったのは単なる脆弱性ではなく、供給量の信頼性の再評価だ。
数学的制約の見落としが「無限増発」リスクにどう変わるか
「無限増発脆弱性」という言葉を見て、最初に思い浮かべるのは、ハッカーが管理者権限を掌握したり、プロトコルの裏口を入手したりすることだ。
しかし、実際はもっと根本的な部分に関わる。
Orchardの安全性は、ゼロ知識証明回路(Orchard circuit)に依存している。ユーザーは取引の具体的内容を隠すことができるが、ネットワークに対して取引が規則に従っていることを証明しなければならない。その最も重要なルールは資産の保存:取引は新たな価値を空中に生み出してはいけない。
簡単に言えば、ユーザーは自分が持つZECの量や、誰に送ったかを公開しなくてもよいが、ネットワークは次のことを確認できなければならない。
支出された資産は正当に入力されたものである。
Taylorが発見した問題は、 Orchard回路内の楕円曲線乗算チェックにあった。
Shielded Labsはこれを「under-constrained element」、すなわち制約不足の回路要素と表現している。数学的関係が完全に制約されていないため、攻撃者は楕円曲線乗算の過程に任意の誤ったデータを入力でき、検証過程は通過と返す可能性がある。
言い換えれば、攻撃者は暗号学的アルゴリズムを破る必要も、ネットワークノードを制御する必要もない。
ただ、正しく成立しないデータのセットを構築し、システムに誤った証明を受け入れさせるだけでよい。
この誤った証明がネットワークに受理された後、存在しなかったはずのZECが合法的な資産として扱われ、 Orchard内に残り続ける。
これが、Shielded Labsが非常に厳しい表現を使った理由だ。
「無限、検出不能な偽造ZEC」
本当に危険なのは、「無限」だけでなく、「検出不能」だ。
この二つの表現の間には、重要な違いがある。
Zcash Foundationは、アップグレード後の公告で、現時点で脆弱性が悪用された証拠は見つかっておらず、未承認の価値創出も検出されていないと述べている。資金とプライバシーは影響を受けていないとも強調している。さらに、Zcashの既存のTurnstile Accountingメカニズムは、異なる資金池間の価値の流れを追跡し、2,100万枚のZECの総供給上限を守ることができると述べている。
一方、Shielded Labsは、 Orchardの歴史上で偽造ZECが一度も出現していないことを暗号学的証明だけに頼ることはできないと明言している。
この二つの表現は一見矛盾しているように見えるが、実際は異なるレベルの問題に焦点を当てている。
Zcashの既存のTurnstile Accountingは、異なる資金池間の「ゲート」として機能し、 Orchardに入った合法資産の総量を集計し、流出可能な資産の規模を制限している。
仮に Orchard内に最初100万枚の合法ZECがあったとすれば、攻撃者が内部でより多くの資産を偽造しても、システムは合法的な規模を超える資産の流出を許さない。これにより、Zcash全体の供給上限を簡単に突破されるのを防げる。
しかし、この仕組みは Orchard内に偽造通貨が一度も存在しなかったことを直接証明できるわけではない。
もし偽造資産が Orchard内にとどまり続けたり、合法的な流出上限内で徐々に本物の資産と置き換えられたりした場合、従来の統計メカニズムだけでは完全な歴史的結論を出せない。
この、ほぼ最も古い暗号プライバシー技術の一つについて、私たちが知ることができるのは、現時点で異常な増発の証拠は見つかっていないが、コミュニティは Orchard内に偽造資産が存在しなかったことを直接証明できないという事実だ。
これが、市場が最も扱いにくいリスクタイプだ。
問題は、すでにいくつの偽造通貨があったかではなく、誰もそれが一度も存在しなかったことを完全に証明できないことだ。
Zcashはどうやって Orchard内に偽造通貨がなかったことを再証明するのか?
脆弱性修正はあくまで第一歩。
Shielded Labsは、他のZcash開発者とともに、新たなネットワークアップグレード提案の検討を進めている。計画には、新しいプライバシー池の導入と、 Orchardからの資産移行に対してTurnstile Accountingを強制適用することが含まれる。
これは、 Orchardに新たな移行ゲートを設置することに相当する。
旧 Orchardの資産が新しいプライバシー池に入るには、検証可能なルールに従って移行を完了させる必要がある。システムは、流出した合法資産の規模を再集計し、正常に移行できない追加のZECが存在するかどうかを判断できる。
アップグレードが成功すれば、誰でもZcashの供給量の完全性を検証でき、 Orchard内に偽造資産が存在しないことを証明できる。
この計画の意義は、単なるコード修正にとどまらず、市場の Orchardへの信頼を再構築することにある。
プライバシーシステムにおいて、信頼は「攻撃が起きていないと我々が考える」ことから得られるのではなく、「誰でも攻撃が起きていないことを検証できる」ことから生まれるべきだ。
Shielded Labsも、これまで悪用された可能性は低いと認めている。脆弱性は長年隠されており、発見は非常に困難だった。Taylorも、専門的な安全性研究の一環として積極的にこの種の問題を探していた。脆弱性の公開後、エコシステムは数日で攻撃の窓を閉じた。
しかし、Shielded Labsは同時に、ユーザーは開発チームの主観的判断だけに頼るべきではないと強調している。
市場には証明が必要だ。
4年間隠されていた脆弱性が、なぜ今になって発見されたのか?
Orchard事件には、市場が見落としやすいもう一つのポイントがある。
5月28日、AnthropicはClaude Opus 4.8をリリースした。
その翌日、Taylorは Orchardの脆弱性を発見した。
ZookoとShielded Labsの振り返りによると、TaylorはOpus 4.8リリース直後に、特定の Orchard回路に対して審査を行い、5月29日に問題を発見した。その後、Opus 4.8を用いて完全な悪用プログラムを作成し、ローカル環境で無限かつ検出不能な偽造ZECを生成した。
この詳細は注目に値する。なぜなら、AIが暗号学的監査を自動的に行えるようになったわけではないからだ。
公開情報は、そのような誇張した結論を支持しない。
Taylor本人は経験豊富なセキュリティ研究者だ。Shielded Labsも、彼は伝統的な安全性研究手法、カスタムAIツールフレームワーク、そして特別に設計されたプロンプトを併用していると述べている。Opus 4.8は審査の重要なツールだが、唯一の要素ではない。
本当に注目すべきは、Taylorが使ったのはAnthropicがネットワークセキュリティ向けに特別に制限公開しているClaude Mythos Previewではなく、一般公開された汎用モデルのOpus 4.8だったことだ。
AnthropicのMythos Previewは、顕著な脆弱性発見・利用能力を持つ最先端モデルと位置付けられている。潜在的な乱用リスクから、一般公開は行わず、Project Glasswingを通じて選定されたパートナーにのみアクセス権を提供している。
一方、Opus 4.8は、普通の開発者がアクセスできる汎用モデルだ。Anthropicはリリースノートで、コード分析や複雑なタスクの実行、コードの欠陥識別能力が向上したと強調している。
これにより、 Orchard事件は、次のような重要なシグナルを放っている。
高価値な脆弱性の発見能力が、少数の専門的なセキュリティモデルから汎用モデルへと拡散している。
公開からわずか一日で入手可能な汎用モデルが、専門研究者の指導のもと、複雑なゼロ知識証明回路の審査に参加し、ほぼ4年にわたる重要な脆弱性を発見できた。
これは、暗号学の専門家の重要性が薄れたことを意味しない。
むしろ、Taylorの経験、審査対象の選択、モデル出力の検証能力は、依然として全体の核心だ。
しかし、専門家とAIの組み合わせは、複雑な脆弱性の発見コストを大きく引き下げている。
脆弱性は閉じたが、市場は答えを待ち続けている
Zcashにとって、最も緊急の攻撃の窓はすでに閉じている。
Orchardの機能は復旧し、検証回路も更新済みであり、現時点で脆弱性が悪用された証拠もない。
しかし、ZECが30%以上暴落したことは、市場が気にしているのはコードの修正だけではないことを示している。
市場は、より徹底的な答えを待っている。
過去約4年間、 Orchard内部で偽造ZECが一度も出現しなかったのか?
新しいプライバシー池とTurnstile Accountingのアップグレードが順調に進めば、コミュニティは供給量の完全性を証明し、市場の信頼を再構築できる。
しかし、その証明が完了するまでは、 Orchard事件には簡単に回避できない未解決の謎が残る。
理論上無限に生成可能な偽造ZECは、実際に存在しなかったのか、それとも誰も気づかない場所に潜んでいたのか?