Négy éven át nem vette senki észre a Zcash hibáját, összeomlott az árfolyam
Cikk meghallgatása
A Zcash az elmúlt félév egyik legjobban teljesítő kriptovalutája, miután a privát tranzakciókra és az anonimitásra egyre nagyobb igény mutatkozik – erről egyébként Vitalik Buterin is gyakran reflektál. Bármennyire is nagy a kereslet azonban a Zcash iránt, egy kritikus biztonsági rés pillanatok alatt képes romba dönteni mindazt, amiért a csapat éveken át dolgozott.
A Zcash hálózatának egyik alapvető eleme 2022 májusa óta hibát rejt magában, azonban ezt szerencsére nem használta ki senki. A $ZEC árfolyama órák alatt 635 dollárról 250 dollárra esett vissza, azonban most megkezdődött a felemelkedés. Utánajárt, mi is történt pontosan a Zcash hálózatával.
Négy éve szunnyadó biztonsági rés
A Zcash hálózat egyik alapvető eleme az Orchard-pool, egy fejlett kriptográfiai rendszer, amely biztosítja, hogy a tranzakciók teljesen láthatatlanok maradjanak kívülállók számára. 2022 májusában, az Orchard aktiválásakor azonban egy kritikus hiba is bekerült a kódba — és ott maradt, csendben, négy éven át.
A sebezhetőséget Taylor Hornby biztonsági mérnök fedezte fel 2026. május 29-én, miután a Shielded Labs nonprofit fejlesztői szervezet kifejezetten azért szerződtette, hogy a rosszindulatú szereplők előtt találja meg az esetleges protokollhibákat.
Hornby az Anthropic Claude Opus 4.8 mesterséges intelligencia modelljét is bevonta a munkába, amellyel az Orchard kriptográfiai áramkörét célzottan vizsgálta át. A hiba természete rendkívül súlyos volt: kiaknázása esetén a támadó korlátlan mennyiségű hamis ZEC tokent hozhatott volna létre — teljesen észrevétlenül, nyom nélkül.
A hiba felfedezése és a vészmegoldás
Hornby nemcsak megtalálta a hibát, hanem teljes körű exploitot is írt hozzá. Helyi tesztkörnyezetben a szoftver valóban képes volt korlátlan, nyomon követhetetlen hamis ZEC tokent generálni. Ha ugyanezt valaki a fő hálózaton futtatja le, az eredmény óriási katasztrófához vezetett volna, mivel a teljes tokenállomány hitelessége is megkérdőjeleződne. A sebezhetőséget Hornby azonnal jelezte a Zcash Open Development Lab (ZODL) csapatának, amely június 1-jére — a felfedezést követő néhány napon belül — be is zárta a rést.
A Shielded Labs a nyilvános közzétételben hangsúlyozta: minden jel arra utal, hogy a hibát senki sem használta ki. Az Orchard privacy-tulajdonságai miatt azonban ez kriptográfiai bizonyossággal nem igazolható visszamenőleg. A szervezet ezért egy hálózati frissítést javasol, amely egy új shielded-pool bevezetésével és az Orchard-tokenek teljes könyvelési auditjával mindenki számára ellenőrizhetővé teszi a ZEC-állomány integritását.
„Ami különösen bonyolulttá teszi a helyzetet a piacok számára, az az, hogy az Orchard privacy-tulajdonságai és a hiba természete miatt kriptográfiai módszerekkel nincs egyértelmű lehetőség megállapítani, hogy a sebezhetőséget a felfedezés és a javítás előtt kihasználták-e. Fontosnak tartjuk, hogy átlátható legyünk ezzel a bizonytalansággal kapcsolatban.”
– áll a Shielded Labs nyilvános közleményében, amelyet tegnap tettek közzé
Elvesztette értékének a felét a $ZEC
Ahogyan az a csatolt grafikonon is látszik, a Zcash natív tokenje, a $ZEC, a hiba felfedését követően órák alatt 635 dollárról 250 dollárig esett vissza – ez egy 60%-os zuhanásnak felel meg. Szerencsére, innen azonnal sikerült visszakapaszkodnia, és már 380 dollár közelében kereskedik.
Forrás: TradingView
Mindezt súlyosbította az a mérhetetlen likvidáció, amely jelenleg a kriptovaluta-piacon zajlik: a CoinGlass információi szerint az elmúlt 24 órában több mint egymilliárd dollár értékben zárultak be tőkeáttételes pozíciók.
A kérdés azonban ugyanaz, mint minden megbízhatósági problémánál: ha bár sikerült a rést befoltozni, maradt-e még bizalom a felhasználókban és a befektetőkben a Zcash iránt, vagy előtérbe helyezik például a hasonló megoldást kínáló Monerot.