ZEC резкое падение более чем на 30%: уязвимость «бесконечной эмиссии», доказать которую невозможно, была ли она использована

ЗАГОЛОВОК: Почему ZEC упал более чем на 30%: неисследованный уязвимый «бесконечный выпуск» уязвимость, которая не может быть доказана, использовалась ли она

Автор статьи: BlockBeats

Источник:

Репост: Mars Finance

TL;DR

5 июня основатель Zcash Зуко Уилкокс опубликовал редкий подробный разбор безопасности.

В статье раскрывается, что 29 мая исследователь безопасности Тейлор Хорби обнаружил серьезную подделочную уязвимость в последней генерации приватного пула Orchard Zcash. Атакующий может создать транзакцию, которая по сути не должна проходить проверку, и внутри Orchard генерировать неограниченное количество поддельных ZEC, которые невозможно обнаружить.

Это не просто теоретическая угроза. Тейлор уже написал полноценную эксплойт-программу в локальной тестовой среде, которая фактически создает поддельные ZEC. Если такой же код будет запущен в основной сети, злоумышленник теоретически сможет генерировать неограниченное количество поддельных активов в своем основном кошельке.

После публикации новости ZEC один раз упал более чем на 30%. По данным CoinMarketCap, за 24 часа цена опустилась до 408,39 долларов, что примерно на треть ниже пика в 610,47 долларов за тот же период. К сожалению, это один из немногих случаев в криптомире, когда эффект богатства был настолько заметен, и сейчас он полностью разрушен этим уязвимым местом.

Если судить только по результату, это кажется очередной знакомой криптоугрозой: обнаружена уязвимость, разработчики срочно исправляют, рынок панически реагирует.

Но настоящая сложность ситуации с Orchard в том, что, несмотря на исправление уязвимости, сообщество Zcash не может прямо ответить на более деликатный вопрос:

Древле ли кто-то уже использовал эту уязвимость?

Экстренное исправление за четыре дня, временная остановка Orchard

Orchard — это новая генерация протокола приватных платежей, запущенная в Zcash в 2022 году, и один из основных приватных пулов сети. Пользователи могут скрывать баланс, сумму транзакции и поток средств, а также подтверждать правильность транзакции с помощью нулевых знаний.

Согласно хронологии, опубликованной Зуко, Shielded Labs и сообществом Zcash, 29 мая Тейлор при проведении целенаправленной проверки Orchard обнаружил аномалию и сразу же приватно сообщил об уязвимости в Zcash Open Development Lab (ZODL). Shielded Labs — это независимая организация, базирующаяся в Швейцарии, финансируемая за счет пожертвований, которая занимается разработкой протокола, безопасностью и устойчивостью сети Zcash, не входящая в состав Zcash Foundation или ZODL.

Инженеры ZODL подтвердили проблему в течение нескольких часов после получения отчета и начали искать решение. Поскольку публичное раскрытие кода патча могло бы раскрыть принцип уязвимости, команда сначала решила временно отключить Orchard: запретить создание новых Orchard-выходов и блокировать расходы уже существующих.

После согласования обновлений с разработчиками, майнерами, операторами узлов, биржами и инфраструктурными провайдерами, 2 июня был активирован срочный мягкий форк. Затем, 3 июня, Zcash обновил проверочные ключи Orchard через жесткий форк и восстановил работу Orchard. В этот период адреса с приватностью Sapling и публичные адреса продолжали функционировать.

От раскрытия уязвимости до полного исправления прошло всего несколько дней. По скорости реакции это можно считать успешным кейсом.

Однако рынок не успокоился после исправления, потому что решение касается будущего, а не прошлого.

Людей волнует не только то, что атаки могли уже произойти, но и то, не было ли их вообще.

Экстренное исправление за четыре дня, Orchard был временно остановлен

Orchard — это новая генерация протокола приватных платежей, запущенная в Zcash в 2022 году, и один из основных приватных пулов сети. Пользователи могут скрывать баланс, сумму транзакции и поток средств, а также подтверждать правильность транзакции с помощью нулевых знаний.

Согласно хронологии, опубликованной Зуко, Shielded Labs и сообществом Zcash, 29 мая Тейлор при проведении целенаправленной проверки Orchard обнаружил аномалию и сразу же приватно сообщил об уязвимости в Zcash Open Development Lab (ZODL). Shielded Labs — это независимая организация, базирующаяся в Швейцарии, финансируемая за счет пожертвований, которая занимается разработкой протокола, безопасностью и устойчивостью сети Zcash, не входящая в состав Zcash Foundation или ZODL.

Инженеры ZODL подтвердили проблему в течение нескольких часов после получения отчета и начали искать решение. Поскольку публичное раскрытие кода патча могло бы раскрыть принцип уязвимости, команда сначала решила временно отключить Orchard: запретить создание новых Orchard-выходов и блокировать расходы уже существующих.

После согласования обновлений с разработчиками, майнерами, операторами узлов, биржами и инфраструктурными провайдерами, 2 июня был активирован срочный мягкий форк. Затем, 3 июня, Zcash обновил проверочные ключи Orchard через жесткий форк и восстановил работу Orchard. В этот период адреса с приватностью Sapling и публичные адреса продолжали функционировать.

От раскрытия уязвимости до полного исправления прошло всего несколько дней. По скорости реакции это можно считать успешным кейсом.

Но рынок не успокоился после исправления, потому что решение касается будущего, а не прошлого.

Людей волнует не только то, что атаки могли уже произойти, но и то, не было ли их вообще.

Общая обеспокоенность — не только в том, что уязвимость исправлена, а в том, что она могла быть использована ранее, и никто этого не заметил.