Уязвимость Zcash Orchard: четыре вопроса: Была ли использована? Можно ли вернуть средства? Можно ли проверить объём эмиссии? Что ещё?
Статья основателя Zcash Зуко Уилкокса и гендиректора Shielded Labs Джейсона Макги посвящена критическому уязвимости в новом пуле конфиденциальности Orchard, выявленной ранее в июне, и отвечает на ключевые вопросы, вызванные инцидентом.
1. **Была ли уязвимость использована?** Ответ — неизвестно, но маловероятно. Уязвимость была обнаружена в ходе целенаправленного аудита с использованием передовых инструментов и ИИ, а не злоумышленниками. После обнаружения пул был оперативно заморожен для устранения проблемы, что свело к минимуму окно для потенциальной атаки. Также нет признаков массового слива сгенерированных средств.
2. **Можно ли вернуть законные средства из Orchard?** Авторы считают, что да, поскольку уязвимость, скорее всего, не использовалась. Если же поддельные средства были созданы и выведены раньше легитимных через «турникет» пула, часть средств может быть утеряна. Пользователям рекомендуется оценить риски при переводе средств из Orchard в прозрачные адреса (t-адреса) или в пул Sapling.
3. **Могут ли пользователи проверить, не была ли увеличена эмиссия ZEC?** В настоящее время — нет. Существование уязвимости лишило пользователей возможности самостоятельно верифицировать общее количество ZEC. Однако предстоящее обновление сети Ironwood решит эту проблему, навсегда запечатав пул Orchard. После этого можно будет криптографически доказать, что в обращении нет избыточных, «сфабрикованных» монет.
4. **Существуют ли другие подобные уязвимости?** Полной уверенности нет, но для этого есть основания. Сразу после обнаружения уязвимости несколько команд, включая Shielded Labs, начали интенсивный аудит всего кода Zcash на предмет других изъянов, в том числе с привлечением ИИ-моделей. На данный момент других уязвимостей не найдено, что повышает уверенность в безопасности протокола.
**Вывод:** Авторы считают, что уязвимость, вероятно, не эксплуатировалась, легитимные средства в безопасности, а эмиссия не была нарушена. Однако ключевым решением является обновление Ironwood, которое восстановит для пользователей возможность самостоятельно и математически проверять целостность предложения Zcash, не полагаясь на чьи-либо заверения.
Odaily星球日报06/15 07:51