ZEC за один день обесценился вдвое, а дебют Claude Opus 4.8 сокрушил Zcash

Написано: Shannon@金色财经

Обновление: ZEC в 15:05 упал ниже 300 долларов, за 24 часа падение превысило 50%.

За 24 часа ZEC обвалился с почти 700 долларов до 400 долларов, стерев все достижения прошлого месяца. Теперь причины ясны.

Оказывается, не только Артур Хейс продавал ZEC, но и в Zcash обнаружилась уязвимость, позволяющая бесконечно подделывать ZEC.

Более того, эта уязвимость была обнаружена с помощью новейшей большой модели Claude Opus 4.8. И она существовала уже 4 года.

I. Предыстория события

В начале июня 2026 года криптовалюта Zcash (ZEC), ориентированная на приватность, пережила одну из самых серьезных угроз безопасности с момента своего появления.

29 мая 2026 года независимый исследователь безопасности Taylor Hornby в ходе аудита протокола по заказу Shielded Labs обнаружил серьезную уязвимость в Orchard пуле Zcash, которая позволяла злоумышленнику бесконечно создавать поддельные ZEC, не будучи обнаруженным, и в тот же вечер сообщил об этом Zcash Open Development Lab (ZODL) с ответственным раскрытием.

Эта уязвимость существовала с момента запуска Orchard пула в мае 2022 года и оставалась незамеченной в течение примерно четырех лет, пока инженеры не закрыли ее на этой неделе.

II. Технический разбор: смертельный дефект в цепи доказательств нулевого знания

Чтобы понять это событие, необходимо сначала разобраться в основной технической архитектуре Zcash.

Что такое доказательство нулевого знания (ZKP)? Приватность Zcash основана на технологии ZKP — позволяющей пользователям доказывать сети "что эта транзакция действительна", не раскрывая детали транзакции. Orchard — это самый современный и передовой приватный пул Zcash, использующий систему доказательств Halo2.

Корень проблемы: проблема заключалась в недостаточной ограниченности в цепи Orchard, что позволяло злоумышленнику вводить ложные данные в проверку эллиптической кривой, которая при этом проходила.

Проще говоря, как будто дверь сейфа проверяет "правильность ключа по форме", но из-за уязвимости в логике проверки некоторые неправильные ключи тоже проходят.

Что означает "уязвимость на уровне целостности": в проектах на базе ZKP, "целостность" (soundness) означает, что система должна принимать только действительные транзакции и переходы состояний. Уязвимость в этом смысле позволяет системе принимать транзакции, которые должны были быть отклонены.

Конкретный вред: эта уязвимость — в реализации цепи Orchard Action в библиотеке halo2_gadgets. Если ее использовать, злоумышленник сможет осуществлять двойные траты внутри Orchard пула, однако благодаря механизму "вращающейся двери" Zcash, защищающему общий объем эмиссии, прямого инфляционного роста ZEC не произойдет.

Значение обнаружения уязвимости с помощью ИИ: Shielded Labs сообщил, что Hornby с помощью модели Anthropic Opus 4.8 и собственных AI-инструментов создал полноценную программу эксплуатации уязвимости, которая успешно генерировала в локальной среде неограниченное количество поддельных ZEC. При запуске в основной сети такой инструмент сможет производить бесконечное количество незаметных подделок. Это первый случай, когда крупная модель ИИ использована для обнаружения и написания кода эксплуатации серьезных уязвимостей криптографических протоколов, что знаменует новый этап в области безопасности.

III. Реакция: учебник по управлению кризисом

Скорость и слаженность действий команды Zcash заслуживают похвалы.

Процесс от обнаружения до исправления занял всего пять дней.

Первый этап — обнаружение уязвимости (29-30 мая): 29 мая 2026 года Taylor Hornby обнаружил серьезную поддельную уязвимость в Orchard пуле Zcash. Он сообщил об этом в Zcash Open Development Lab (ZODL).

Второй этап — срочный мягкий форк (1 июня): В блоке с высотой 3,363,426 активирован временный мягкий форк, примерно в 02:00 по UTC, отключив все Orchard операции, чтобы дать разработчикам время на исправление кода.

Третий этап — жесткий форк NU6.2 (2 июня): В блоке с высотой 3,364,600 активирован жесткий форк NU6.2, примерно в 00:05 по восточному времени, с обновленной цепью Orchard. Весь цикл — от приватного раскрытия до окончательной активации — занял около пяти дней.

Почему нужен именно жесткий форк? Потому что исправление цепи доказательств нулевого знания требует нового "зашитого проверочного ключа" (pinned verifying key), и мягкий форк не способен реализовать такие изменения.

Обоснование конфиденциальной координации: команда сознательно держала детали уязвимости в секрете, вели переговоры с майнерами и биржами в частном порядке, чтобы злоумышленники не использовали уязвимость до выхода патча. Такой подход — "ответственное раскрытие" (Responsible Disclosure) — является стандартной практикой, и в этот раз он был выполнен полностью по протоколу.

IV. Неясность на рынке: цена приватности

Самая глубокая проблема этого инцидента — в одной из главных характеристик Zcash — приватности.

Благодаря дизайну Orchard, с криптографической точки зрения, невозможно определить, использовалась ли уязвимость до ее исправления.

Иными словами, "отсутствие признаков использования" не означает "подтверждение, что не использовалась".

Эта фундаментальная противоречивость вызывает сомнения в полном доверии к заявлениям Фонда Zcash.

Именно поэтому Shielded Labs предложил провести новое обновление сети Zcash, позволяющее любому проверить, что объем приватных монет не был тайно увеличен. Этот шаг выходит за рамки срочного исправления 3 июня.

Само по себе это предложение отражает вечную дилемму приватных блокчейнов: чем сильнее приватность, тем сложнее доказать свою честность.

V. Исторические прецеденты и отраслевые уроки

Это не первый случай, когда Zcash сталкивается с серьезной криптографической уязвимостью.

В 2019 году команда раскрыла уязвимость в старой версии Sprout — долгое время не обнаруженную. Эта уязвимость также не имела известных случаев эксплуатации, и реакция рынка была скорее доверительной, чем панической.

Более широкие выводы из этого инцидента:

1. ИИ изменит ландшафт аудита безопасности. Помощь ИИ в обнаружении уязвимостей означает, что и злоумышленники, и защитники получат более мощные инструменты. Регулярные и частые ИИ-обследования станут стандартом для обеспечения безопасности ценных протоколов.

2. Конфликт между "приватностью" и "подотчетностью" будет углубляться. Интересы регуляторов, пользователей и разработчиков будут сталкиваться в подобных случаях. Баланс между приватностью и прозрачностью — долгосрочная задача индустрии приватных монет.

3. Способность к быстрому реагированию — ключевое конкурентное преимущество протокола. Завершение цикла от обнаружения до исправления за пять дней демонстрирует зрелость экосистемы. В сравнении с кейсами, где из-за некоординированности уязвимость остается не устраненной долгое время, действия Zcash можно считать эталонными.

4. Восстановление доверия на рынке требует времени. Краткосрочные колебания цен отражают информационный дисбаланс и эмоциональную реакцию, а не фундаментальную ценность протокола. ZEC до этого события уже вырос более чем в 16 раз с минимальных уровней июля 2024 года, и дальнейшее развитие этой тенденции еще предстоит оценить.

Заключение

Инцидент с уязвимостью Orchard в Zcash — это многомерное пересечение технических дефектов, возможностей ИИ, кризисных управленческих решений и рыночных настроений.

Он ярко показывает вызовы, с которыми сталкивается приватный блокчейн в реальном мире: когда щит криптографии трещит, напряжение между прозрачностью и приватностью проявляется наиболее остро.

Исправление завершено.

Но настоящий экзамен — сможет ли эта экосистема построить более надежную защиту и доверенные механизмы в преддверии следующей уязвимости.