Zcash Orchard: Empat Pertanyaan Kritis Soal Kerentanan: Pernah Dieksploitasi? Dana Dapat Dipulihkan? Pasokan Dapat Diverifikasi? Ada yang Lain?

Odaily星球日报Dipublikasikan tanggal 2026-06-15Terakhir diperbarui pada 2026-06-15

Abstrak

Artikel ini membahas empat pertanyaan kunci terkait kerentanan (bug) dalam Orchard, kolam privasi baru Zcash. Pertama, apakah kerentanan ini pernah dieksploitasi? Penulis menyimpulkan kemungkinannya kecil, meski tidak dapat dikesampingkan sepenuhnya, karena ditemukan melalui penelitian proaktif, perbaikan cepat dilakukan, dan tidak ada bukti eksploitasi yang terlihat. Kedua, apakah dana sah di Orchard dapat diselamatkan? Jika tidak ada eksploitasi sebelumnya, dana sah tetap dapat diakses sepenuhnya. Namun, pengguna yang sangat berhati-hati dapat memindahkan dana mereka, dengan mempertimbangkan risiko seperti kehilangan privasi atau ketergantungan pada pengaturan tepercaya di kolam lain. Ketiga, apakah pengguna dapat memverifikasi bahwa pasokan ZEC tidak berlebihan? Saat ini tidak bisa, karena kerentanan tersebut mengganggu kemampuan verifikasi mandiri. Namun, pembaruan jaringan Ironwood yang diusulkan akan menyelesaikan masalah ini dengan menutup (meng-segel) kolam Orchard, sehingga memulihkan kemampuan pengguna untuk memverifikasi bahwa tidak ada ZEC tambahan yang beredar melampaui batas pasokan yang ditetapkan protokol. Keempat, bagaimana kita tahu tidak ada kerentanan pemalsuan lainnya? Peninjauan berkelanjutan oleh para peneliti ahli dengan bantuan AI belum menemukan kerentanan serupa lainnya, sehingga meningkatkan keyakinan. Kerja sama dengan proyek seperti Tachyon juga akan memberikan jaminan tambahan. Kesimpulannya, penulis meyakini dana pengguna aman dan pasokan Z...

Penulis Asli: Jason McGee, CEO Shielded Labs; Pendiri Zcash, Zooko Wilcox

Kompilasi | Odaily Planet Daily Qin Xiaofeng(@QinXiaofeng 888 )

Catatan Editor: Pada 5 Juni waktu Beijing, proyek privasi Zcash mengungkap adanya kerentanan pemalsuan kritis di kolam privasi generasi barunya, Orchard. Harga token ZEC anjlok hingga sekitar $250. Setelah sekitar 10 hari, kepanikan pasar sedikit mereda, harga ZEC pulih, dan kembali ke level $500 hari ini.

Pagi ini, pendiri Zcash Zooko Wilcox kembali merilis tulisan panjang untuk menanggapi isu-isu yang menjadi perhatian pasar. Dia menyatakan bahwa kemungkinan besar kerentanan Orchard belum pernah dieksploitasi sebelumnya, dan dana Orchard yang sah dapat dipulihkan; saat ini pengguna belum dapat memverifikasi sendiri apakah pasokan Zcash melebihi batas, tetapi pembaruan Ironwood akan menyegel kolam Orchard dan memulihkan kemampuan verifikasi ini; dalam tinjauan berkelanjutan, tidak ditemukan kerentanan pemalsuan lain, tetapi untuk memastikan sepenuhnya masih membutuhkan lebih banyak pekerjaan.

Berikut adalah artikel asli dari Zooko Wilcox, dikompilasi oleh Odaily Planet Daily, enjoy~

————————————

Kerentanan Orchard baru-baru ini memunculkan pertanyaan penting tentang pasokan Zcash dan keamanan dana pengguna. Diskusi ini mencampurkan beberapa topik yang berbeda, sehingga sulit memahami dampak nyata kerentanan ini bagi pengguna. Artikel ini mencoba memisahkan masalah-masalah ini dan menjelaskan maknanya bagi pengguna satu per satu.

Kerentanan Orchard mengemukakan empat pertanyaan penting:

  1. Apakah kerentanan Orchard pernah dieksploitasi?
  2. Apakah dana Orchard yang sah dapat dipulihkan?
  3. Dapatkah pengguna memverifikasi bahwa pasokan Zcash belum meningkat secara artifisial?
  4. Bagaimana kita tahu tidak ada kerentanan pemalsuan lain?

Apakah Kerentanan Orchard Pernah Dieksploitasi?

Tidak diketahui. Kami pikir kemungkinannya kecil, meskipun tidak bisa sepenuhnya dikesampingkan. Kami percaya kemungkinan besar belum pernah dieksploitasi, karena tiga alasan:

Terlepas dari tinjauan berkelanjutan selama bertahun-tahun oleh banyak kriptografer dan peneliti keamanan terkemuka di dunia, kerentanan ini sebelumnya tidak terdeteksi. Penemuannya akhirnya bukanlah kebetulan; ditemukan oleh Taylor Hornby dari Shielded Labs dengan tujuan proaktif untuk mengidentifikasi kerentanan keamanan seperti ini sebelum penyerang jahat berhasil. Taylor menggunakan teknik penelitian keamanan berbantuan AI canggih dan alat khusus yang dirancang untuk menemukan cacat halus yang mungkin terlewatkan orang lain, yang lebih sulit dilakukan oleh mereka yang tidak mendalami basis kode Zcash.

Setelah kerentanan ditemukan, pengembang Zcash (dipimpin oleh tim Zcash Open Development Labs) dengan cepat berkoordinasi dengan pool penambangan untuk membekukan kolam Orchard sementara dan menerapkan perbaikan, sehingga membatasi jendela peluang bagi serangan apa pun.

Eksploitasi kerentanan kripto adalah hal yang umum, dan penyerang biasanya akan mencairkannya secepat mungkin, terutama setelah kerentanan diumumkan. Untuk mendapatkan keuntungan dari kerentanan ini, penyerang perlu menukar ZEC palsu dengan aset berharga, yang biasanya akan menyebabkan ZEC mengalir keluar dari kolam Orchard melalui mekanisme turnstile. Jika kerentanan telah dieksploitasi sebelum diperbaiki, kami memperkirakan akan ada bukti yang muncul sekarang. Secara historis, eksploitasi kerentanan kripto biasanya bersifat 'rampok', bukan strategi tersembunyi selama berbulan-bulan atau bertahun-tahun seperti 'catur 4D'.

Apakah Dana Orchard yang Sah Dapat Dipulihkan?

Kami pikir bisa, karena kami percaya kerentanan itu belum pernah dieksploitasi. Jika penilaian ini benar, semua dana Orchard yang sah masih dapat dipulihkan sepenuhnya.

Di sisi lain, jika memang terjadi pemalsuan di Orchard, mekanisme turnstile yang ada akan membatasi jumlah total migrasi hingga jumlah ZEC yang masuk secara sah ke kolam tersebut. Oleh karena itu, jika dana palsu bermigrasi sebelum dana yang sah, pengguna mungkin tidak dapat memulihkan sebagian atau seluruh dana Orchard yang sah.

Kami pikir skenario ini tidak mungkin terjadi. Namun, bagi pengguna yang lebih berhati-hati, tetap disarankan untuk memindahkan ZEC mereka keluar dari Orchard. Tetapi sebelum melakukan ini, mereka harus memahami poin-poin berikut:

  • Memindahkan dana ke kolam transparan (yaitu ke alamat t) akan mengungkapkan jumlah dan waktu transaksi, dan dana tersebut akan terbuka terkait dengan alamat t tersebut.
  • Memindahkan dana dari kolam Orchard ke kolam Sapling akan mengungkapkan jumlah dan waktu transaksi, tetapi berbeda dengan pindah ke alamat t, ini tidak mengaitkan dana tersebut dengan alamat atau riwayat transaksi tertentu.
  • Kolam Sapling bergantung pada upacara pengaturan tepercaya yang dilakukan pada tahun 2018. Bergantung pada keamanan dari pengaturan tepercaya ini adalah risiko tambahan yang harus diperhatikan pengguna.
  • Sepengetahuan kami, YWallet dan Zkool adalah satu-satunya dompet Zcash self-hosted yang banyak digunakan dan mendukung kolam Sapling saat ini.
  • Memindahkan dana ke dompet atau layanan kustodian baru akan memperkenalkan risiko tambahan, termasuk kesalahan pengguna, cacat perangkat lunak, risiko kustodian, atau masalah tak terduga lainnya.

Secara keseluruhan, kami pikir tingkat risiko di atas sedang. Jika dana Anda saat ini disimpan di dompet self-hosted terlindungi, dan mengingat penilaian kami bahwa pemalsuan sebelumnya tidak mungkin terjadi, membiarkannya di sana adalah pilihan yang masuk akal. Jika Anda memiliki cara yang aman, memindahkannya ke tempat lain juga bisa masuk akal. Pengguna dapat mencapai kesimpulan yang berbeda berdasarkan situasi mereka sendiri.

Dapatkah Pengguna Memverifikasi Pasokan Zcash Belum Meningkat?

Saat ini belum bisa. Keberadaan kerentanan sebelumnya membuat pengguna tidak dapat memverifikasi secara mandiri apakah ZEC yang beredar di kolam terlindung saat ini tidak melebihi jumlah yang seharusnya.

Namun, seperti yang kami tunjukkan dalam tulisan sebelumnya, pembaruan Ironwood memulihkan kemampuan ini. Gambar di bawah ini menjelaskan alasannya.

Pembaruan jaringan yang diusulkan menyelesaikan masalah ini dengan menambahkan jaminan "tidak ada lagi kerentanan pemalsuan yang tidak diketahui" dan menyegel kolam Orchard. Dana baru tidak dapat masuk lagi, dan dana di dalam kolam juga tidak dapat beredar lagi. Satu-satunya jalur yang tersisa adalah keluar melalui mekanisme turnstile yang ada, yang memastikan bahwa ZEC yang keluar dari kolam Orchard tidak akan melebihi jumlah yang masuk secara sah.

Perubahan ini memulihkan kemampuan untuk memverifikasi keutuhan pasokan Zcash.

Saat ini, jika ada dana palsu di kolam Orchard, mereka dapat terus beredar di dalam kolam. Setelah pembaruan, ini tidak mungkin lagi. Terlepas dari apakah pemalsuan pernah terjadi, siapa pun yang menjalankan node dapat memverifikasi bahwa ZEC yang beredar tidak melebihi jumlah yang benar.

Pengguna tidak perlu menunggu dana bermigrasi keluar dari Orchard, atau menyimpulkan perilaku yang mungkin dilakukan oleh penyerang atau pengguna lain. Protokol itu sendiri memberikan jaminan yang dapat diverifikasi: ZEC tambahan tidak dapat terus beredar di dalam Orchard dan meningkatkan pasokan.

Ini penting karena kredibilitas jangka panjang Zcash bergantung pada kemampuan pengguna untuk memverifikasi sendiri keutuhan pasokannya. Ironwood memulihkan kemampuan pengguna untuk secara mandiri memverifikasi apakah batasan pasokan protokol diterapkan.

Bagaimana Kita Tahu Tidak Ada Kerentanan Pemalsuan Lain?

Kami saat ini belum bisa sepenuhnya memastikannya, tetapi kami memiliki alasan untuk percaya tidak ada kerentanan lain. Shielded Labs dan beberapa tim lain terus meninjau dengan cermat protokol Zcash untuk menemukan kerentanan pemalsuan lainnya. Ini termasuk, dengan bantuan Anthropic, menggunakan model AI Mythos yang belum dirilis tidak lama sebelum Mythos ditangguhkan, untuk mencari kerentanan tambahan. Kami berencana untuk berbagi lebih banyak detail tentang tinjauan ini dan temuannya dalam posting blog mendatang.

Sejauh ini, tidak ada kerentanan pemalsuan lain yang ditemukan. Tingkat keahlian tinggi, upaya, dan analisis berbantuan AI canggih yang terlibat dalam pencarian ini memberi kami kepercayaan lebih bahwa tidak ada kerentanan serupa yang masih tersembunyi.

Selain itu, kami bekerja sama dengan proyek-proyek seperti Tachyon Project untuk memberikan jaminan tambahan bahwa tidak ada lagi kerentanan pemalsuan di Zcash. Kami juga akan menjelaskan lebih lanjut di posting blog mendatang.

Kesimpulan

Kerentanan Orchard menimbulkan empat pertanyaan penting: apakah kerentanan pernah dieksploitasi, apakah dana Orchard yang sah dapat dipulihkan, apakah pengguna dapat memverifikasi pasokan Zcash belum meningkat, dan apakah masih ada kerentanan pemalsuan lain yang belum ditemukan.

Kami percaya kemungkinan besar belum pernah dieksploitasi sebelumnya, sehingga dana Orchard yang sah dapat dipulihkan, dan pasokan Zcash saat ini aman. Berdasarkan tinjauan berkelanjutan dari beberapa peneliti dan tim independen, kami juga semakin yakin tidak ada kerentanan pemalsuan lain yang belum ditemukan. Namun, pengguna saat ini belum dapat memverifikasi keamanan pasokan Zcash, dan mereka seharusnya tidak bergantung pada penilaian kami—atau penilaian siapa pun.

Pembaruan jaringan yang diusulkan menyelesaikan masalah ini. Dengan menyegel kolam Orchard, ia memulihkan kemampuan pengguna untuk secara mandiri memverifikasi keamanan pasokan Zcash. Pengguna tidak perlu lagi menilai apakah pemalsuan pernah terjadi untuk memverifikasi bahwa batasan pasokan protokol dipatuhi.


Pertanyaan Terkait

QApa keempat masalah utama yang dibahas dalam artikel mengenai kerentanan Orchard di Zcash?

AKeempat masalah utama tersebut adalah: (1) Apakah kerentanan Orchard pernah dieksploitasi sebelumnya? (2) Apakah dana Orchard yang sah dapat dipulihkan? (3) Dapatkah pengguna memverifikasi bahwa pasokan Zcash tidak berlebih? (4) Bagaimana kita tahu tidak ada kerentanan pemalsuan lain yang tersembunyi?

QMenurut artikel, apa alasan utama tim Zcash percaya bahwa kerentanan Orchard kemungkinan besar belum pernah dieksploitasi?

ATim Zcash percaya kerentanan tersebut kemungkinan besar belum dieksploitasi karena tiga alasan: (1) Kerentanan ini sangat halus dan ditemukan melalui penelitian keamanan proaktif yang canggih, bukan secara tidak sengaja. (2) Setelah ditemukan, tim pengembang dengan cepat menanggapi dan memperbaikinya, membatasi 'jendela kesempatan' untuk serangan. (3) Jika ada eksploitasi, biasanya akan ada bukti pergerakan dana palsu yang dapat dideteksi, yang sejauh ini belum terlihat.

QApa yang direncanakan dalam peningkatan Ironwood untuk mengatasi masalah verifikasi pasokan Zcash?

APeningkatan Ironwood akan menyegel (membekukan) kolam Orchard. Ini berarti tidak ada dana baru yang bisa masuk dan dana yang ada di dalamnya tidak dapat lagi beredar. Satu-satunya jalan keluar adalah melalui mekanisme 'turnstile' yang ada, yang memastikan jumlah ZEC yang keluar tidak melebihi jumlah yang sah yang pernah masuk. Dengan begitu, pengguna dapat secara independen memverifikasi bahwa pasokan Zcash keseluruhan tidak melebihi batas yang ditetapkan protokol.

QApa risiko yang perlu dipertimbangkan pengguna jika memindahkan dana mereka keluar dari kolam Orchard, seperti yang disebutkan dalam artikel?

ARisiko yang disebutkan meliputi: (1) Memindahkan ke alamat transparan (t-address) akan mengungkapkan jumlah dan waktu transaksi, serta mengaitkannya secara publik dengan alamat tersebut. (2) Memindahkan ke kolam Sapling akan mengungkapkan jumlah dan waktu, tetapi tidak mengaitkannya dengan sejarah transaksi tertentu. Namun, Sapling bergantung pada upacara 'trusted setup' tahun 2018, yang merupakan risiko keamanan tambahan. (3) Hanya ada sedikit dompet swadaya yang mendukung Sapling (YWallet dan Zkool). (4) Proses pemindahan sendiri membawa risiko kesalahan pengguna, bug perangkat lunak, atau masalah tak terduga lainnya.

QLangkah apa yang diambil untuk memastikan tidak ada kerentanan pemalsuan lain di protokol Zcash, selain kerentanan Orchard?

ABeberapa tim, termasuk Shielded Labs, terus melakukan peninjauan menyeluruh terhadap kode protokol Zcash. Mereka menggunakan keahlian tingkat tinggi dan alat analisis canggih berbasis AI (seperti model Mythos AI dari Anthropic) untuk secara aktif mencari kerentanan lain. Sejauh ini, belum ditemukan kerentanan pemalsuan serupa. Mereka juga berkolaborasi dengan proyek seperti Tachyon Project untuk memberikan jaminan tambahan bahwa tidak ada kerentanan lain yang tersembunyi.

Bacaan Terkait

Panduan Musim Altcoin 2026: Analisis Nilai Saat Ini dan Sinyal Pasar, Sudah Waktunya Menyambut Musim Altcoin?

**Panduan Musim Altcoin 2026: Analisis Nilai dan Sinyal Pasar** Musim altcoin dimulai ketika mata uang kripto alternatif mulai mengungguli kinerja Bitcoin. Ini ditandai dengan setidaknya 75% dari 50 aset kripto teratas mengalahkan BTC dalam periode 90 hari. Siklus 2026 memiliki tantangan unik karena "Tembok ETF" – modal institusional besar yang masuk melalui ETF Bitcoin terdaftar, berpotensi memperlambat perputaran modal ke altcoin. Untuk mendeteksi musim altcoin, para analis menggunakan Altcoin Season Index. Nilai di atas 75 menandakan potensi musim altcoin, tetapi konfirmasi tambahan dari penguatan pasangan ETH/BTC dan SOL/BTC semakin penting. Pasar modern bergerak dalam tahapan berdasarkan narasi, bukan kenaikan serentak semua koin. Tahapannya dimulai dari akumulasi (harga rendah, minat rendah), diikuti fase awal yang dipimpin narasi seperti AI, RWA, atau DePIN, menuju puncak dengan kenaikan eksponensial dan sentimen ekstrem. Strategi perdagangan yang sukses melibatkan alokasi portofolio yang seimbang, rotasi sektor mengikuti likuiditas, dan manajemen risiko ketat (diversifikasi, stop-loss, cadangan stablecoin). Musim altcoin berbeda dengan musim Bitcoin, yang ditandai dominasi BTC tinggi (>50%) dan aliran modal ke aset yang lebih aman. Prediksi untuk 2026 menunjukkan musim altcoin belum dimulai (dominasi BTC masih ~56-60%). Pemicu potensial bisa berupa penurunan dominasi Bitcoin di bawah 50-55%, kondisi makroekonomi yang mendukung, serta adopsi teknologi baru. Persiapan terbaik adalah dengan membangun daftar pantauan proyek-proyek berkualitas dasar kuat selama fase akumulasi.

Foresight News46m yang lalu

Panduan Musim Altcoin 2026: Analisis Nilai Saat Ini dan Sinyal Pasar, Sudah Waktunya Menyambut Musim Altcoin?

Foresight News46m yang lalu

Ini Mungkin Gambar Paling Memukau di WAIC Tahun Ini!

Baru-baru ini di WAIC 2026, SenseTime meluncurkan model gambar AI baru mereka, **SenseNova U1 Pro**. Model ini menonjol karena kemampuannya menghasilkan gambar berkualitas **8K asli** dengan detail yang sangat jelas, bahkan dalam kanvas sangat panjang. Selain resolusi tinggi, U1 Pro dirancang untuk memahami tujuan kompleks, merencanakan, mengatur informasi, dan menghasilkan konten multimodal dalam satu alur kerja terpadu. Model ini diuji dengan berbagai permintaan menantang seperti membuat ilustrasi panjang bertema "24 Musim", poster laboratorium futuristik, pemandangan arsitektur kuno dengan nuansa kaca, serta poster film yang siap pakai. Hasilnya menunjukkan kemampuan U1 Pro dalam mempertahankan konsistensi visual, komposisi yang terstruktur, dan kejelasan teks bahkan pada gambar beresolusi sangat tinggi. Pendekatan U1 Pro bergeser dari sekadar menghasilkan gambar tunggal menjadi sistem yang bertanggung jawab atas **pengiriman konten akhir** yang dapat langsung digunakan. Ini mirip evolusi pada AI coding, di mana fokus berubah dari menulis kode baris demi baris menjadi menyelesaikan seluruh proyek. Dengan kemampuan "berpikir" dalam alur gambar-teks, pemeriksaan mandiri, dan perbaikan berkelanjutan, U1 Pro menargetkan skenario profesional seperti desain informasi, perencanaan kota, storyboard film, dan desain komersial. Intinya, SenseNova U1 Pro tidak hanya tentang gambar yang lebih tajam, tetapi tentang membawa generasi AI multimodal ke tahap di mana ia dapat mengelola tugas desain yang kompleks dan memberikan hasil akhir yang siap pakai, mengurangi ketergantungan pada penyuntingan manusia yang berulang.

marsbit2j yang lalu

Ini Mungkin Gambar Paling Memukau di WAIC Tahun Ini!

marsbit2j yang lalu

Trading

Spot
活动图片