ZEC обвалился более чем на 31% после сообщения о критической уязвимости бесконечной эмиссии в пуле Orchard

По данным Martian Finance, 5 июня основатель Zcash Зуко Уилкокс сообщил о критической уязвимости подделки в пуле Zcash Orchard, которая могла позволить выпускать в рамках Orchard неограниченное количество необнаруживаемых фальшивых ZEC. Уязвимость выявил 29 мая исследователь безопасности Тейлор Хорнби в ходе целевого аудита с использованием модели Anthropic Opus 4.8; о находке он уведомил Zcash Open Development Lab (ZODL). После этого ZODL скоординировала экстренные меры по всему экосистемному стеку Zcash, а исправление было завершено 2 июня. Хорнби также подготовил полноценную программу-эксплойт в локальной среде regtest с применением Opus 4.8. В тестах она позволяла генерировать неограниченные и неотслеживаемые поддельные ZEC. При запуске на основной сети Zcash этот инструмент, как отмечается, мог бы создавать аналогичные "невидимые" поддельные монеты в кошельках mainnet. Причиной стала недостаточно ограниченная величина в схеме Orchard: злоумышленник мог подставлять произвольные ложные значения в умножение на эллиптической кривой и при этом проходить проверку корректности умножения. Сообщается, что дефект присутствовал с момента активации протокола Orchard в мае 2022 года и сохранялся до установки экстренного патча 1 июня 2026 года. Из-за приватности Orchard и характера проблемы криптографическими методами сейчас невозможно установить, эксплуатировалась ли уязвимость до выхода исправления. Shielded Labs считает вероятность прежней эксплуатации низкой и прорабатывает обновление сети: планируется развернуть новый пул приватности и внедрить учет turnstile для всех токенов в пуле Orchard. Это должно дать возможность любому участнику проверять целостность предложения Zcash и подтверждать отсутствие поддельных ZEC внутри Orchard. На фоне новости ZEC, согласно рыночным данным, подешевел более чем на 31% за 24 часа и торговался по $410.50.