Критическая уязвимость в приватном пуле Zcash исправлена

Исследователь безопасности Тейлор Хорнби нашёл серьёзную уязвимость в новом приватном пуле Orchard криптовалютного проекта Zcash. Проблема была выявлена 29 мая при помощи инструмента Claude Opus 4.8. Команда разработчиков специально привлекала Хорнби к поиску подобных проблем, и он быстро справился с задачей.

Приватный пул Orchard был представлен в 2022 году и является самым современным механизмом анонимных транзакций в экосистеме Zcash. Он позволяет пользователям отправлять и получать токены ZEC, сохраняя конфиденциальность деталей операций. Для проверки транзакций используется технология доказательств с нулевым разглашением (zero-knowledge proofs), которая подтверждает корректность операции без раскрытия её участников и сумм.

Однако найденная ошибка заключалась в том, что одна из проверок, отвечающих за верификацию входных данных транзакции, фактически не выполняла свою функцию должным образом. Это давало возможность злоумышленнику обойти проверку и создать поддельные транзакции, генерируя новые монеты ZEC буквально "из воздуха". При этом система подтверждала такие мошеннические действия как валидные благодаря механизму доказательства с нулевым разглашением.

Как это могло повлиять на пользователей?

Если бы данная проблема осталась незамеченной, она могла привести к следующим последствиям:

• Инфляция: неограниченная генерация новых монет привела бы к резкому увеличению предложения ZEC, что снизило бы их стоимость;
• Потеря доверия: пользователи могли потерять доверие к платформе из-за возможности манипуляций с системой;
• Нарушение конфиденциальности: хотя сама атака не раскрывает детали транзакций, сам факт наличия такой ошибки мог вызвать сомнения относительно надёжности технологии.

Что предприняли разработчики?

Команда Zcash оперативно отреагировала на сообщение исследователя и выпустила обновление протокола, устраняющее проблему. Вот основные шаги, которые были выполнены:

• Проведён аудит кода, чтобы убедиться в отсутствии аналогичных ошибок;
• Выпущено экстренное обновление сети, которое уже внедрено всеми узлами;
• Разработан план регулярных аудитов и тестирования нового функционала перед его релизом.

Какие меры предосторожности стоит принять владельцам Zcash?

Хотя уязвимость уже закрыта, важно соблюдать следующие правила безопасности:

• Регулярно обновляйте программное обеспечение кошелька до последней версии;
• Используйте официальные клиенты и сервисы, рекомендованные командой Zcash;
• Следите за официальными уведомлениями команды разработчиков и сообществом Zcash.

Заключение: важность регулярного аудита

Данный случай подчёркивает необходимость постоянного мониторинга и проведения независимых экспертиз систем безопасности блокчейнов. Даже самые современные механизмы могут содержать скрытые проблемы, поэтому регулярный аудит и привлечение сторонних специалистов помогают минимизировать риски.

---

Примечание: данный пост подготовлен исключительно на основе предоставленной информации и не содержит дополнительных фактов или статистических данных, отсутствующих в оригинальном сообщении.