Futuros
Acesse centenas de contratos perpétuos
CFD
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Pre-IPOs
Desbloqueie o acesso completo a IPO de ações globais
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Simple Earn
Ganhe juros com tokens ociosos
Autoinvestimento
Invista automaticamente regularmente
Investimento duplo
Lucre com a volatilidade do mercado
Soft Staking
Ganhe recompensas com stakings flexíveis
Empréstimo de criptomoedas
0 Fees
Penhore uma criptomoeda para pegar outra emprestado
Centro de empréstimos
Centro de empréstimos integrado
Promoções
Centro de atividade
Participe de atividades e ganhe recompensas
Indicação
20 USDT
Convide amigos para recompensas de ind.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Anúncio
Atualizações na plataforma em tempo real
Blog da Gate
Artigos do setor de criptomoedas
Serviços VIP
Grandes Descontos nas Taxas
Gerenciamento de ativos
Solução completa de gerenciamento de ativos
Institucional
Soluções de ativos digitais para empresas
Desenvolvedores (API)
Conecta-se ao ecossistema de aplicativos da Gate
Transferência Bancária OTC
Deposite e retire moedas fiat
Programa de corretoras
Mecanismos de grandes descontos via API
AI
Gate AI
Seu parceiro de IA conversacional para todas as horas
Gate AI Bot
Use o Gate AI diretamente no seu aplicativo social
GateClaw
Gate Blue Lobster, pronto para usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
10K+ habilidades
Do escritório à negociação: um hub completo de habilidades para turbinar o uso da IA
GateRouter
Escolha inteligentemente entre mais de 40 modelos de IA, com 0% de taxas extras
O grande irmão das moedas de privacidade caiu? Zcash surpreende com falha de "fabricação"
Autor: David Christopher; Tradução: White Blockchain
Este artigo aborda a última divulgação de uma vulnerabilidade no Orchard do Zcash: embora o problema já tenha sido corrigido, o mais preocupante é que a vulnerabilidade pode permitir que atacantes forjem ZEC na piscina de privacidade, e o próprio design de privacidade impede que se saiba se moedas falsas realmente apareceram anteriormente. Portanto, o foco do evento não é mais apenas “corrigir uma vulnerabilidade”, mas “reconstruir a confiança através de uma forma verificável do sistema”.
Três pontos principais merecem atenção neste artigo: primeiro, o mercado não aceitará apenas a hipótese de “baixa probabilidade de exploração”; segundo, o Zcash pode precisar migrar para uma nova piscina de privacidade para simular uma “limpeza de registros”; terceiro, a verificação formal está passando de um diferencial para uma infraestrutura fundamental de todos os protocolos. Para projetos que enfatizam criptografia complexa e design de privacidade, tudo isso é um aviso bastante realista.
O Zcash não teve uma semana fácil.
Em 29 de maio, o pesquisador de segurança Taylor Hornby, ao usar o Opus 4.8 para estudar o protocolo em apoio à organização independente Shielded Labs, descobriu uma falha grave no Orchard — a mais recente e maior piscina de privacidade do Zcash. Ele então divulgou o problema de forma privada ao Zcash Open Developer Labs (ZODL), uma das equipes principais do protocolo, que confirmou e começou a responder em questão de horas.
Como divulgar muitos detalhes poderia fornecer um roteiro de ataque aos potenciais atacantes, o trabalho de correção foi feito em fases:
2 de junho: uma bifurcação suave de emergência cancelou as transações do Orchard.
3 de junho: a bifurcação rígida NU6.2 reativou a piscina e lançou o circuito modificado — que define previamente as regras para que uma transação seja considerada válida.
Aparentemente, parece uma história já resolvida: uma vulnerabilidade grave foi descoberta, corrigida, e dentro do escopo conhecido, não houve exploração.
Mas, após uma revisão completa do evento divulgada ontem, a natureza do incidente foi completamente reescrita.
A revisão mostra que, na verdade, trata-se de uma “vulnerabilidade de falsificação”, teoricamente permitindo que atacantes criem ZEC falsos dentro do Orchard indefinidamente; pior ainda, não há como verificar se essa vulnerabilidade foi explorada antes da correção.
Embora a equipe envolvida ainda considere que “a probabilidade de exploração seja baixa”, no novo contexto, a história mudou de “Zcash corrigiu um bug” para “Zcash corrigiu um bug que pode permitir a fabricação de ZEC falsos no Orchard, e atualmente não há uma maneira oficial de provar que isso nunca aconteceu”.
O que é o Orchard, onde o problema ocorreu? Orchard é a mais recente piscina de privacidade do Zcash, uma camada que oculta informações de valores, remetentes e destinatários.
Como outros sistemas de privacidade, ela depende de provas de conhecimento zero para operar. Os usuários podem provar que seguem as regras do sistema sem revelar detalhes específicos; essas regras estão codificadas em circuitos.
Essa vulnerabilidade está presente desde o lançamento do Orchard em maio de 2022, e teoricamente poderia permitir que alguém falsificasse ZEC dentro do Orchard, fazendo com que a rede considerasse esses ativos falsos como legítimos. Como o Orchard oculta valores e detalhes de transações, essas unidades falsificadas poderiam permanecer na piscina sem deixar rastros na cadeia pública.
Atualmente, pelo menos por ora, como o Orchard é público, não é possível revisar diretamente seu histórico, nem concluir que, antes da correção, nenhuma ZEC falsa foi criada.
A equipe acredita que “a probabilidade de exploração anterior seja baixa”, e essa avaliação não é infundada: a vulnerabilidade é profunda, difícil de detectar, e requer habilidades especializadas para explorar.
Porém, o que o mercado valoriza não é apenas a “probabilidade”, mas uma “prova verificável”. Antes que o Zcash confirme que nenhuma ZEC falsa foi criada, o protocolo exige que os usuários confiem em algo que ainda não pode ser provado de forma definitiva.
O que pode acontecer a seguir? O Zcash precisa encontrar uma maneira de provar que não há cópias excessivas de ZEC no Orchard, ou forçar a transição de contas para um estado onde ZEC falso não possa mais se esconder.
A correção provavelmente virá de duas frentes: primeiro, auditar as subsidiárias; segundo, tornar mais difícil para futuras vulnerabilidades serem negligenciadas.
Na auditoria, o fundador do Zcash, Zooko Wilcox, sugeriu migrar a oferta de pools de privacidade atuais para uma nova piscina Orchard. O mecanismo chave aqui é a auditoria de “portas giratórias”: uma piscina não pode ultrapassar um limite de valor que exceda o valor legalmente ingressado nela.
Se toda a movimentação de fundos na piscina passar por essa “porta giratória”, então qualquer tentativa de ultrapassar esse limite será bloqueada, pois o valor tentado ultrapassar o limite de valor real que entrou na piscina, conforme registrado na cadeia. Detalhes dessa abordagem devem ser divulgados na próxima semana.
Quanto à segunda frente, o Josh Swihart do ZODL aponta para a “verificação formal”. Em resumo, trata-se de escrever as regras do sistema em uma forma que possa ser verificada por máquinas, e então provar que o circuito realmente segue essas regras.
Ela não substitui a avaliação humana, mas eleva a questão mais importante de “confiar na auditoria” para “provar diretamente que as restrições essenciais estão presentes”.
O Zcash tem duas possíveis rotas de correção. Uma delas é criar uma nova versão do Orchard, com verificação formal, como uma solução transitória; teoricamente, ela poderia ser lançada até o janela de atualização NU7 no final de julho, mas ainda não foi oficialmente aprovada.
A resposta mais longa e clara é o Tachyon. É o novo protocolo de privacidade que o Zcash está projetando, com uma estrutura mais simples e baseada em ferramentas de verificação formal.
O objetivo é claro: reduzir a complexidade altamente manual do Orchard, que é difícil de raciocinar completamente, permitindo que os circuitos relacionados sejam submetidos a verificações mais rigorosas. Antes que partículas superluminais se concretizem, um pool Orchard verificado pode servir como uma ponte intermediária.
Bem-vindo a uma nova fase: a inteligência artificial já começou a ajudar os humanos a descobrir vulnerabilidades em protocolos.
O artigo também menciona que a discussão sobre esse problema foi impulsionada por uma pesquisa que usa prompts de IA. Independentemente dos detalhes finais, o evento reforça que o mercado está sendo lembrado: os futuros protocolos de segurança estão sendo reescritos por uma pesquisa automatizada mais poderosa.
Enquanto aguardamos atualizações sobre se o ZEC realmente entrou na piscina, uma lição mais importante é: os projetos por trás dos tokens que você possui precisam estabelecer relações de colaboração próximas e de alta qualidade com pesquisadores de segurança e engenheiros.
Como sugerido na citação de Tayvano, a razão pela qual o Zcash pode ter sido capaz de descobrir esse problema antes de um atacante, é que há uma relação de confiança entre eles. Você pode orar, mas o mais importante é verificar o próprio processo de validação.
Isso pode parecer uma repetição de um aviso, mas vale reforçar novamente: entramos em um novo paradigma, com o poder de comprometer protocolos que atualmente valem bilhões de dólares em valor.