Оригинал | Odaily Planet Daily (@OdailyChina)
Автор | Asher (@Asher_0210)
После распространения новости токен Zcash ZEC быстро пошёл вниз, краткосрочное падение превысило 30%; к полудню продажи не прекратились, панические настроения продолжили распространяться, цена в какой-то момент упала до отметки около 250 долларов, внутридневное падение расширилось до более чем 50%.
Исследователь безопасности Тейлор Хорнби обнаружил проблему 29 мая и провёл верификацию уязвимости в локальной среде, сгенерировав тестовые поддельные ZEC, что дополнительно подтвердило, что уязвимость представляет собой исполняемый путь атаки. В настоящее время вокруг Zcash существует два основных спора: во-первых, появлялись ли за последние 4 года в приватном пуле поддельные ZEC; во-вторых, как официальные лица могут доказать, что поддельные ZEC не поступали в приватный пул — задача опровержения чрезвычайно сложна.
Откуда взялись ZEC с «неограниченной эмиссией»?
Безопасность Orchard («защищённого пула» приватности Zcash) зависит от схемы доказательств с нулевым разглашением (zk-SNARK), основное правило — сохранение активов: каждые траты в транзакции должны исходить из законных входов, нельзя создавать ZEC из воздуха. Пользователи могут скрывать балансы и суммы транзакций, но система обязана проверять легитимность транзакции.
Исследователь безопасности Тейлор Хорнби обнаружил, что в схеме Orchard одно из ограничений является неполным (under-constrained), злоумышленник может вводить данные, которые не должны проходить проверку, но верификация всё равно может возвращать успех. Другими словами, не требуются права администратора или контроль над узлами, это также не бэкдор-уязвимость — если система ошибочно посчитает транзакцию легитимной, изначально несуществующие ZEC могут быть записаны внутри Orchard как законные активы.
Shielded Labs назвали это «неограниченными, необнаруживаемыми поддельными ZEC».
Уязвимость исправлена, но исторические вопросы остаются подвешенными
Худшее в обычных инцидентах безопасности — слишком большой ущерб, а в кризисе Zcash самым проблемным является то, что ущерб не может быть прямо измерен.
Если бы атака произошла в прозрачной цепочке, рынок по крайней мере мог бы видеть адрес атаки, движение средств и затронутые активы. Но в Orchard суммы транзакций, балансы и пути движения средств сами по себе скрыты. Если поддельные ZEC когда-либо появлялись в пуле, внешнему миру сложно определить, остались ли они в Orchard или уже постепенно вышли через обычные транзакции.
Что ещё важнее, Orchard не является полностью изолированным чёрным ящиком. Пользователи могут мигрировать активы между различными пулами ликвидности, реальные ZEC и потенциально поддельные ZEC могут смешиваться внутри пула.
Экосистема Zcash может подчёркивать, что на данный момент нет доказательств эксплуатации уязвимости, также можно объяснить, что вероятность злонамеренного использования низка. Но для трейдеров «не обнаружено аномалий» и «доказано, что ничего не случилось» — не одно и то же.
Это также основная причина продолжающегося расширения падения ZEC. Пока не доказано, появлялись ли когда-либо поддельные ZEC в Orchard, доверие к предложению ZEC будет оставаться под вопросом.
Артур Хейс распродал активы, спровоцировав кризис доверия на рынке
После разоблачения уязвимости ZEC публичная распродажа активов сооснователем BitMEX Артуром Хейсом усилила рыночную панику.
Артур Хейс на платформе X заявил, что продал все свои позиции в ZEC. Хейс отметил, что узнал об инциденте вчера, но не осознал конфликта этого события с его нарративной структурой, падение ZEC на 30% заставило его переосмыслить и принять решение зафиксировать прибыль по этой позиции. Он добавил, что хотя считает вероятность дополнительной эмиссии крайне низкой, не может криптографически формально доказать её невозможность; будет продолжать переоценивать суждения, и если предположение будет опровергнуто, выкупит обратно, надеясь открыть позицию по более низкой цене; приватность бесценна, он не против выкупить обратно по более высокой цене.
Это сильно ударило по ZEC. В течение последнего времени Артур Хейс был одним из важных драйверов нарратива вокруг ZEC. Его позитивная оценка была основана на долгосрочной логике переоценки приватных активов на фоне ИИ, государственного наблюдения и экспансии крупных технологических компаний. Поэтому его распродажа — не просто фиксация прибыли крупным держателем, а скорее публичное понижение рейтинга текущего нарратива ZEC.
Когда ведущий сторонник нарратива выбирает уйти первым, длинные позиции, изначально державшиеся на вере и ожиданиях, легче переходят к коллективной фиксации прибыли и избеганию рисков.
Эмоции сообщества вышли из-под контроля: ZEC перешёл от коррекции цен к кризису доверия
Возможно, под влиянием распродажи Артура Хейса, обсуждение ZEC в сообществе быстро сместилось с «покупать ли на дне» к «можно ли ещё доверять».
С одной стороны, сообщество постоянно подчёркивает серьёзность самой уязвимости. По сравнению с краткосрочным падением, многие пользователи больше обеспокоены тем, что уязвимость, теоретически позволяющая создавать неограниченное количество поддельных монет, могла скрываться в Orchard почти четыре года. Для них падение цены — лишь поверхностное явление, а то, что действительно подрывает доверие, — это вопрос, поставленный под сомнение над ключевым предположением безопасности Zcash.
С другой стороны, процесс обнаружения уязвимости с помощью ИИ ещё больше усилил недоверие. Тейлор Хорнби с помощью инструментов ИИ провёл целевой аудит схемы Orchard и в конечном итоге обнаружил уязвимость, написал эксплойт и сгенерировал поддельные ZEC в локальной среде. Хотя ИИ не проводил аудит самостоятельно, сообществу легче запомнить нарратив: «ключевая уязвимость, существовавшая много лет, была обнаружена с помощью ИИ за короткое время», и эта история быстро распространилась.
Это направило остриё критики на систему разработки и аудита Zcash. Сообщество задаётся вопросом: почему уязвимость, существовавшая с 2022 года, могла оставаться незамеченной в основной сети годами? Если в ключевом приватном пуле возможны упущения в ограничениях, как пользователи могут снова доверять обещаниям Zcash относительно объёма предложения и безопасности приватности?
Таким образом, это падение уже не просто фиксация прибыли. Пока Zcash не предоставит более убедительных доказательств, никто по-настоящему не захочет долгосрочно держать ZEC.
