A sebezhetőség története
A kritikus problémát május 29-én Taylor Hornby, a Shielded Labs által felkért biztonsági mérnök fedezte fel, az Anthropic Opus 4.8 újgenerációs MI-modelljének segítségével. Hornby feladata az volt, hogy még a rosszindulatú támadók előtt találja meg a protokoll sebezhetőségeit, ezért célzott vizsgálatnak vetette alá a Zcash legfejlettebb adatvédelmi rendszerét, az Orchard adatvédelmi poolt. Továbbá a hiba 2022 májusa óta lappangott az Orchard rendszerben, vagyis több mint két éve volt jelen.
Hornby egy teljes körű exploitot írt, amely a helyi tesztelés során valóban előállította a tetszőleges mennyiségű hamis ZEC-et. Ha mindezt a főhálózaton próbálta volna ki, senki nem vette volna észre a végtelen mennyiségű frissen „nyomtatott” tokent.
Azonnali beavatkozás és a piac reakciója
A felfedezés után Hornby azonnal jelentette a hibát a Zcash Open Development Lab csapatának, akik néhány napon belül vészhelyzeti javítással zárták be a rést. A piacokat azonban nem nyugtatta meg a gyors reakció sem: a hiba ugyanis évekig rejtve maradt, annak ellenére, hogy tapasztalt kriptográfusok többször is átvizsgálták a rendszert – csak a legújabb MI-eszközök és szakavatott kutatók precíz munkája után sikerült feltárniuk.
Mi történt valójában? Kérdések, amelyekre nincs biztos válasz
A helyzetet súlyosbítja, hogy nincs olyan, visszamenőleg alkalmazható kriptográfiai módszer, amellyel bizonyítani lehetne, hogy valaki kihasználta-e a hibát. A Shielded Labs szerint fontos erről transzparensen kommunikálni, ezért nyilvánosan elismerték, hogy nem tudják száz százalékig kizárni a kihasználás lehetőségét. Ugyanakkor valószínűtlennek tartják a visszaélést, mivel a hibát csak igen rövid ideig lehetett volna kihasználni, és kizárólag célzott kutatással volt azonosítható.
Bővülő biztonsági intézkedések
A bizalom visszaszerzése érdekében javaslatot tettek a hálózat továbbfejlesztésére: új shielded pool létrehozását, valamint minden coinra általános számviteli szabályok bevezetését tervezik az Orchard poolban. Erősítik a biztonsági csapatot: új tagokat vesznek fel, és matematikai bizonyításokon alapuló formális verifikációs programot indítanak – hogy minden rejtett hiba napvilágra kerüljön, még mielőtt bárkinek kárt okozhatna.
