Ориентированная на конфиденциальность криптовалюта Zcash (ZEC) за последние 24 часа потерпела значительные убытки, упав примерно на 30% до 400 долларов на фоне общей слабости рынка. Продажи ускорились после того, как Shielded Labs, некоммерческая организация-разработчик Zcash, раскрыла критическую уязвимость в пуле конфиденциальности Orchard блокчейна, которая могла поставить под угрозу целостность предложения токена.
В конце четверга Shielded Labs опубликовала подробное раскрытие информации в X, выявив уязвимость, эксплуатация которой могла бы позволить злоумышленнику создать неограниченное количество поддельных токенов ZEC, оставаясь совершенно незамеченным. Представьте, что кто-то тайно получает доступ к печатному станку ФРС для долларов, но в данном случае даже ФРС не смогла бы отличить эти напечатанные доллары.
Уязвимость была обнаружена 29 мая Тейлором Хорнби, инженером по безопасности, нанятым Shielded Labs в апреле 2026 года специально для выявления уязвимостей протокола до того, как это сделают злоумышленники. Работая с недавно выпущенной моделью ИИ Opus 4.8 от Anthropic, Хорнби провел высокоточный аудит схемы Orchard, которая является криптографической системой, лежащей в основе самого продвинутого пула конфиденциальности Zcash.
Shielded Labs сообщила, что Хорнби написал полный эксплойт, который при тестировании в локальной среде генерировал неограниченное количество необнаруживаемых поддельных ZEC. Shielded Labs добавила, что если бы тот же инструмент был запущен в основной сети Zcash, он сгенерировал бы неограниченное количество необнаруживаемых поддельных токенов в его кошельке основной сети.
Представьте, что злоумышленник тихо печатает неограниченное количество поддельных ZEC и удерживает их, оставаясь незамеченным. Ущерб доверию к предложению и, как следствие, рыночной стоимости токена мог бы быть серьезным.
Хорнби немедленно раскрыл информацию об уязвимости Zcash Open Development Lab (ZODL), которая скоординировала экстренное исправление 1 июня, закрыв его в течение нескольких дней после обнаружения.
Ошибка оставалась незамеченной четыре года
Тем не менее, казалось бы, проактивный подход к исправлению ошибок не произвел впечатления на рынки. Возможно, это связано с тем, что, как признала сама Shielded Labs, ошибка присутствовала с момента активации Orchard в мае 2022 года. Другими словами, она существовала, оставаясь незамеченной, в течение четырех лет.
Ситуацию для рынков усложняет еще и признание Shielded Labs в том, что она не может с уверенностью сказать, была ли ошибка использована до исправления.
«Особую сложность представляет то, что из-за свойств конфиденциальности Orchard и природы ошибки не существует однозначного способа определить, используя только криптографию, происходила ли такая эксплуатация до того, как уязвимость была обнаружена и исправлена. Мы считаем важным быть прозрачными в отношении этой неопределенности», — заявила компания.
Тем не менее, она подчеркнула, что эксплуатация, вероятно, не произошла по нескольким причинам. Во-первых, ошибка ускользала от внимания опытных криптографов на протяжении многих лет. Она всплыла на поверхность только благодаря передовым инструментам ИИ и высококвалифицированным исследователям, которые целенаправленно искали ее. А после обнаружения она была быстро исправлена, оставив мало времени для эксплуатации.
«Мы думаем, что ему, вероятно, удалось это сделать», — сказала Shielded Labs об усилиях Хорнби по поиску уязвимости до того, как это сделают злоумышленники.
Однако организация осторожно добавила, что пользователям не следует полагаться исключительно на их оценку, и предложила обновление сети, которое позволит любому независимо проверять целостность предложения ZEC. Предложение включает развертывание нового защищенного пула и принудительное применение учета через турникет (turnstile accounting) для всех монет из пула Orchard. Компания заявила, что опубликует подробный пост по этому вопросу на следующей неделе.
Также было отмечено, что организация ускоряет усилия по обеспечению безопасности, включая продолжение работы с Хорнби, проект формальной верификации, направленный на написание математического доказательства отсутствия необнаруженных ошибок в схеме Orchard, и новые назначения на должности главы отдела безопасности и криптографа.