ช่องโหว่ที่สำคัญในสระป้องกัน Orchard ของ Zcash อาจทำให้ผู้โจมตีสร้าง ZEC ปลอมได้ไม่จำกัดจำนวนโดยไม่มีการตรวจจับ ตามการเปิดเผยใหม่จาก Zooko Wilcox, Jason McGee และนักวิจัยด้านความปลอดภัย Taylor Hornby ข้อบกพร่องดังกล่าวถูกค้นพบเมื่อวันที่ 29 พฤษภาคม ซึ่งได้รับการแก้ไขผ่านการตอบสนองของระบบนิเวศฉุกเฉินซึ่งแล้วเสร็จภายในวันที่ 2 มิถุนายน และตอนนี้ได้ก่อให้เกิดการถกเถียงในวงกว้างว่า Zcash สามารถพิสูจน์ความสมบูรณ์ของการจัดหาในระบบรักษาความเป็นส่วนตัวได้อย่างไร
ข้อบกพร่องของ Orchard ทำให้ความซื่อสัตย์ของ Zcash Provide อยู่ภายใต้การตรวจสอบข้อเท็จจริง
ที่ Hornby พบช่องโหว่ซึ่งเป็นวิศวกรความปลอดภัยที่มีประสบการณ์ซึ่งได้รับการว่าจ้างจาก Shielded Labs ในเดือนเมษายน 2026 เพื่อดำเนินการวิจัยด้านความปลอดภัยอย่างต่อเนื่องเกี่ยวกับโปรโตคอล Zcash ตามการเปิดเผย คำสั่งนั้นตรงไปตรงมา: ค้นหาจุดอ่อนระดับโปรโตคอลก่อนที่ฝ่ายตรงข้ามจะทำ Hornby เริ่มตรวจสอบ Zcash ด้วยการผสมผสานระหว่างการวิจัยด้านความปลอดภัยแบบดั้งเดิมและวิธีการตรวจสอบที่ได้รับความช่วยเหลือจาก AI ที่ใหม่กว่า
เวลาถูกบีบอัดอย่างผิดปกติ ไม่นานหลังจากที่ Anthropic เปิดตัวรุ่น Opus 4.8 ในวันที่ 28 พฤษภาคม Hornby ก็ใช้มันในการตรวจสอบแบบกำหนดเป้าหมายของวงจร Orchard หนึ่งวันต่อมา เขาพบข้อบกพร่องที่สำคัญเกี่ยวกับการปลอมแปลงและเปิดเผยต่อ Zcash Open Improvement Lab หรือ โซลซึ่งวิศวกรได้ประสานงานการตอบสนองฉุกเฉินกับผู้เข้าร่วมระบบนิเวศอื่นๆ
“ช่องโหว่นี้อาจถูกนำไปใช้เพื่อสร้าง ZEC ปลอมจำนวนไม่จำกัดภายใน Orchard” โพสต์ของ Shielded Labs พูดว่า. “เนื่องจากคุณสมบัติความเป็นส่วนตัวของ Orchard จึงไม่มีทางพิสูจน์ด้วยการเข้ารหัสว่าช่องโหว่นั้นถูกหาประโยชน์ก่อนที่จะได้รับการแก้ไขหรือไม่ อย่างไรก็ตาม การอัปเกรดเครือข่ายสามารถนำมาใช้เพื่อปกป้องผู้ใช้และพิสูจน์ความสมบูรณ์ของการจัดหา Zcash”
การเปิดเผยระบุว่าข้อผิดพลาดนั้น “มีอยู่จริงและสามารถหาประโยชน์ได้” Hornby ด้วยความช่วยเหลือของ Opus 4.8 ได้เขียนช่องโหว่ที่สมบูรณ์และทดสอบในสภาพแวดล้อม regtest ในพื้นที่ ซึ่งสร้าง ZEC ปลอมไม่จำกัดจำนวนซึ่งไม่สามารถตรวจพบได้ ผู้เขียนกล่าวว่าหากมีการเรียกใช้เครื่องมือเดียวกันบน mainnet มันจะสร้าง ZEC ปลอมแบบไม่จำกัดและตรวจไม่พบในกระเป๋าเงิน mainnet ของ Hornby
ในทางเทคนิคแล้ว ปัญหาเกี่ยวข้องกับองค์ประกอบภายใต้ข้อจำกัดของสนามออร์ชาร์ด นั่นทำให้สามารถป้อนอินพุตเท็จตามอำเภอใจลงในการคูณเส้นโค้งวงรีในขณะที่ยังคงผ่านการตรวจสอบการคูณ จุดอ่อนเกิดขึ้นจาก การเปิดใช้งานออร์ชาร์ด ในเดือนพฤษภาคม 2022 จนกว่าจะมีการนำการแก้ไขฉุกเฉินไปใช้ในวันที่ 1 มิถุนายน 2026
ไทม์ไลน์นั้นเป็นศูนย์กลางของข้อกังวล ในบัญชีแยกประเภทที่โปร่งใส โดยทั่วไปสามารถตรวจสอบความผิดปกติของอุปทานได้โดยการตรวจสอบยอดคงเหลือสาธารณะและมูลค่าธุรกรรม การออกแบบ Orchard นั้นแตกต่างออกไป โดยจะซ่อนจำนวนเงินและประวัติการทำธุรกรรม รูปแบบความเป็นส่วนตัวนั้นหมายความว่าระบบขึ้นอยู่กับความถูกต้องของกฎวงจรที่กำหนดธุรกรรมที่มีการป้องกันที่ถูกต้อง
Josh Swihart ผู้ก่อตั้งและซีอีโอของ Zcash Open Improvement Lab ซึ่งเป็นทีมเบื้องหลังการสร้างและการเปิดตัว Zcash และผู้สร้างกระเป๋าเงิน Zodl มีกรอบ ปัญหาในข้อกำหนดเหล่านั้นในโพสต์แยกต่างหาก “ธุรกรรม Zcash ที่มีการป้องกันนั้นรวมถึงการพิสูจน์ว่าเป็นไปตามกฎของโปรโตคอลตามที่กำหนดไว้ในกฎ (วงจร) ที่กำหนดสิ่งที่ถือเป็นธุรกรรมที่ถูกต้อง ช่องโหว่ของ Orchard อยู่ในกฎข้อใดข้อหนึ่งซึ่งเขียนอย่างหลวม ๆ เพียงพอที่จะยอมรับข้อมูลเท็จและยังคงผ่าน ด้วยเหตุนี้กลไกจึงสามารถมั่นใจได้ว่าธุรกรรมปลอมนั้นถูกต้อง”
Swihart เสริมว่าข้อบกพร่องไม่ได้อยู่ในการเข้ารหัสพื้นฐานของ Zcash หรือตัวพิสูจน์อักษรเอง แต่อยู่ในกฎที่เขียนด้วยลายมือ ในคำพูดของเขา “นี่เป็นข้อบกพร่องในกฎที่เขียนด้วยลายมือ ไม่ใช่ในการเข้ารหัสพื้นฐานหรือกลไกที่สร้างการพิสูจน์”
Shielded Labs กล่าวว่าการแสวงหาผลประโยชน์ก่อนหน้านี้ไม่น่าเป็นไปได้ ในขณะเดียวกันก็เน้นย้ำว่าไม่ควรขอให้ผู้ใช้พึ่งพาการประเมินนั้นเพียงอย่างเดียว ผู้เขียนชี้ให้เห็นถึงเหตุผลหลายประการสำหรับมุมมองของพวกเขา: ข้อบกพร่องได้หลบเลี่ยงการตรวจสอบข้อเท็จจริงหลายปีโดยนักเข้ารหัสชั้นนำ Hornby ได้รับการว่าจ้างเป็นพิเศษเพื่อค้นหาช่องโหว่ดังกล่าว และหน้าต่างการตอบสนองหลังจากการค้นพบถูกแคบลงอย่างมากด้วยความเร็วของ ZODL และระบบนิเวศ Zcash ที่กว้างขึ้น
“การค้นพบนี้ไม่ใช่เรื่องบังเอิญ มันเป็นผลมาจากความพยายามโดยเจตนาที่จะระบุช่องโหว่ประเภทนี้ก่อนที่ผู้ประสงค์ร้ายจะสามารถทำได้” โพสต์กล่าว “เทย์เลอร์เป็นหนึ่งในคนที่มีทักษะมากที่สุดในโลกในด้านนี้ เขาใช้เครื่องมือ AI ล่าสุดที่มีให้เฉพาะนักวิจัยด้านความปลอดภัยหมวกขาวเท่านั้น พร้อมด้วยสายรัดและการแจ้งเตือน AI ที่สร้างขึ้นเองที่ซับซ้อนและแจ้งเตือน และทำงานอย่างหนักเพื่อเอาชนะผู้โจมตี เราคิดว่าเขาน่าจะประสบความสำเร็จ”
อย่างไรก็ตาม ผู้เขียนได้รับทราบถึงความไม่แน่นอนของการเข้ารหัสลับที่ยังไม่ได้รับการแก้ไข เนื่องจากคุณสมบัติความเป็นส่วนตัวของ Orchard และลักษณะของข้อบกพร่อง พวกเขากล่าวว่าไม่มีวิธีที่แน่ชัดในการพิสูจน์ผ่านการเข้ารหัสเพียงอย่างเดียวว่าช่องโหว่ดังกล่าวถูกนำไปใช้ประโยชน์ก่อนการแก้ไขหรือไม่
Shielded Labs มองเห็นกลุ่มใหม่และการตรวจสอบอย่างเป็นทางการ
เพื่อแก้ไขปัญหาดังกล่าว Shielded Labs กำลังสำรวจข้อเสนอการอัพเกรดเครือข่ายร่วมกับนักพัฒนา Zcash รายอื่น แผนดังกล่าวจะปรับใช้พูลที่มีการป้องกันใหม่และบังคับใช้การบัญชีแบบหมุนกับเหรียญที่ย้ายจากพูล Orchard ที่มีอยู่ โดยมีเป้าหมายเพื่อให้ทุกคนสามารถตรวจสอบความสมบูรณ์ของอุปทาน Zcash และพิสูจน์ว่าไม่มี ZEC ปลอมใน Orchard คาดว่าจะมีการโพสต์ติดตามผลในสัปดาห์หน้าพร้อมรายละเอียดเพิ่มเติม รวมถึงข้อดีข้อเสียและกลไกการใช้งาน การอัพเกรดที่สำคัญใดๆ ยังคงต้องการการสนับสนุนจากชุมชนและกระบวนการกำกับดูแลมาตรฐานก่อนเปิดใช้งาน
สวิฮาร์ตกล่าวว่า ตามหลักการแล้ว แหล่งรวมออร์ชาร์ดแห่งที่สองอาจเป็นเป้าหมายสำหรับ NU7 ในปลายเดือนกรกฎาคม แม้ว่าเขาจะไม่ได้ระบุจุดยืนที่แน่นอนว่าควรดำเนินตามเส้นทางนั้นหรือไม่ เขาแย้งว่าปัญหาที่ใหญ่กว่าคือการป้องกันไม่ให้ความล้มเหลวประเภทนี้เกิดขึ้นอีก โดยมีการตรวจสอบอย่างเป็นทางการว่าเป็นคำตอบที่แข็งแกร่งที่สุด
“การยืนยันอย่างเป็นทางการช่วยแก้ไขปัญหานี้ได้” Swihart เขียน “การพิสูจน์ทางคณิตศาสตร์สามารถสร้างขึ้นได้เพื่อลดส่วนที่มนุษย์ต้องทบทวนให้กระชับและอ่านง่ายของกฎ จากนั้น คอมพิวเตอร์จะตรวจสอบกฎทั้งหมดเพื่อให้แน่ใจว่าตรงกัน เครื่องมือ AI ในตอนนี้สามารถเขียนบทพิสูจน์เหล่านี้ได้”
Shielded Labs กล่าวว่ากำลังเร่งทำงานด้านความปลอดภัยเชิงรุกร่วมกับ Hornby และ Anthropic โดยเริ่มโครงการเพื่อตรวจสอบวงจร Orchard อย่างเป็นทางการ และเปิดการค้นหาหัวหน้าฝ่ายรักษาความปลอดภัยและนักเข้ารหัส ในตอนนี้ทำให้ Zcash มีเส้นทางที่ยากลำบากแต่ชัดเจน: ซ่อมแซมสมมติฐานด้านความน่าเชื่อถือรอบๆ Orchard พิสูจน์ความสมบูรณ์ของการจัดหาหากเป็นไปได้ และย้ายการออกแบบที่มีการป้องกันในอนาคตให้ใกล้กับการรับประกันที่ตรวจสอบด้วยเครื่องจักรมากกว่าความซับซ้อนที่ตรวจสอบโดยมนุษย์
ในช่วง 24 ชั่วโมงที่ผ่านมา ZEC ร่วงลงเกือบ 45% ท่ามกลางความไม่แน่นอน ณ เวลาปัจจุบัน ราคาซื้อขายอยู่ที่ 337 ดอลลาร์
ภาพเด่นที่สร้างด้วย DALL.E แผนภูมิจาก TradingView.com
กระบวนการบรรณาธิการ สำหรับ bitcoinist มุ่งเน้นไปที่การนำเสนอเนื้อหาที่ได้รับการวิจัยอย่างละเอียด ถูกต้อง และเป็นกลาง เรารักษามาตรฐานการจัดหาที่เข้มงวด และแต่ละหน้าได้รับการตรวจสอบอย่างเข้มงวดโดยทีมผู้เชี่ยวชาญด้านเทคโนโลยีชั้นนำและบรรณาธิการผู้ช่ำชองของเรา กระบวนการนี้ทำให้มั่นใจในความสมบูรณ์ ความเกี่ยวข้อง และคุณค่าของเนื้อหาของเราสำหรับผู้อ่านของเรา
