Ошибка в Zcash могла позволить неограниченную чеканку ZEC незаметно

bitcoinistОпубликовано 2026-06-05Обновлено 2026-06-05

Введение

Критическая уязвимость в защищенном пуле Orchard протокола Zcash могла позволить злоумышленнику создавать неограниченное количество поддельных монет ZEC без обнаружения. Ошибка была обнаружена 29 мая исследователем Тейлором Хорнби с помощью ИИ-инструментов и устранена к 2 июня в результате экстренного отклика экосистемы. Уязвимость заключалась в недостаточно строгом ограничении в цепи Orchard, что позволяло использовать ложные входные данные. Она существовала с момента активации Orchard в мае 2022 года. Из-за приватного характера пула невозможно криптографически доказать, использовалась ли уязвимость до исправления. Разработчики считают эксплуатацию маловероятной, но не исключают ее. Для восстановления доверия и проверки целостности эмиссии рассматривается сетевое обновление с созданием нового защищенного пула и внедрением формальной верификации цепи Orchard для предотвращения подобных ошибок в будущем. На фоне новостей курс ZEC упал почти на 45%.

Критическая уязвимость в защищённом пуле Orchard сети Zcash могла позволить злоумышленнику создавать неограниченное количество поддельных ZEC без обнаружения, согласно новому заявлению от Зуко Уилкокса, Джейсона Макги и исследователя безопасности Тейлора Хорнби. Ошибка была обнаружена 29 мая, устранена в ходе экстренных действий, завершённых к 2 июня, и теперь вызвала более широкие дебаты о том, как Zcash может доказать целостность эмиссии в системе, сохраняющей конфиденциальность.

Ошибка в Orchard ставит под сомнение целостность эмиссии Zcash

Уязвимость была обнаружена Хорнби, опытным инженером по безопасности, нанятым Shielded Labs в апреле 2026 года для проведения постоянных исследований безопасности протокола Zcash. Согласно заявлению, мандат был прост: найти уязвимости на уровне протокола до того, как это сделают противники. Хорнби начал изучение Zcash с помощью комбинации традиционных исследований безопасности и новых методов аудита с использованием ИИ.

Сроки были необычно сжатыми. Вскоре после того, как Anthropic выпустила свою модель Opus 4.8 28 мая, Хорнби использовал её для целенаправленного анализа схемы Orchard. Спустя день он обнаружил критическую уязвимость, позволяющую создавать поддельные монеты, и сообщил о ней в Zcash Open Development Lab (ZODL), чьи инженеры координировали экстренное устранение с другими участниками экосистемы.

«Этой уязвимостью можно было бы воспользоваться для незаметного создания неограниченного количества поддельных ZEC внутри пула Orchard», — говорится в сообщении Shielded Labs. «Из-за свойств конфиденциальности Orchard нет криптографического способа доказать, была ли уязвимость использована до её устранения. Однако сетевое обновление может быть развёрнуто для защиты пользователей и доказательства целостности эмиссии Zcash».

В заявлении утверждается, что ошибка была «реальной и эксплуатируемой». Хорнби с помощью Opus 4.8 написал полный эксплойт и протестировал его в локальной тестовой среде regtest, где он генерировал неограниченное количество необнаруживаемых поддельных ZEC. Авторы заявили, что если бы тот же инструмент был запущен в основной сети, он сгенерировал бы неограниченное количество необнаруживаемых поддельных ZEC в кошельке Хорнби в основной сети.

Технически проблема заключалась в недостаточно строго заданном элементе схемы Orchard. Это позволяло вводить произвольные ложные данные в операцию умножения на эллиптической кривой, при этом проверка умножения всё равно проходила успешно. Уязвимость существовала с момента активации Orchard в мае 2022 года до экстренного исправления, развёрнутого 1 июня 2026 года.

Эти временные рамки являются ключевыми для понимания проблемы. В прозрачном реестре аномалии в эмиссии, как правило, можно проверить, анализируя публичные балансы и суммы транзакций. Orchard устроен иначе по замыслу: он скрывает суммы и историю транзакций. Эта модель конфиденциальности означает, что система в значительной степени зависит от корректности правил схемы, определяющих допустимые защищённые транзакции.

Джош Суайхарт, основатель и генеральный директор Zcash Open Development Lab, команды, стоящей за созданием и запуском Zcash и разработкой кошелька Zodl, описал проблему в этих терминах в отдельном посте. «Защищённая транзакция Zcash включает доказательство того, что она следовала правилам протокола, определённым в своде правил (схеме), который определяет, что является допустимой транзакцией. Уязвимость в Orchard была в одном из правил, написанном недостаточно строго, так что оно принимало ложную информацию и всё равно проходило проверку. В результате механизм можно было убедить, что поддельная транзакция является действительной».

Суайхарт добавил, что ошибка заключалась не в базовой криптографии Zcash или самом механизме доказательств, а в правилах, написанных вручную. По его словам, «Это была ошибка в правилах, написанных вручную, а не в базовой криптографии или в механизме, создающем доказательства».

Shielded Labs заявила, что предшествующее использование уязвимости маловероятно, подчеркнув при этом, что пользователей не следует просить полагаться только на эту оценку. Авторы указали на несколько причин своей точки зрения: ошибка ускользала от внимания ведущих криптографов в течение многих лет, Хорнби был специально нанят для поиска подобных уязвимостей, а окно для реакции после обнаружения было резко сужено благодаря скорости работы ZODL и всей экосистемы Zcash.

«Обнаружение не было случайным — это был результат целенаправленных усилий по выявлению уязвимостей такого рода до того, как это смогли бы сделать злоумышленники», — говорится в сообщении. «Тейлор — один из самых опытных в мире специалистов в этой области. Он использовал новейшие инструменты ИИ, доступные только исследователям безопасности «белой шляпы», вместе с изощрённой, специально созданной обвязкой ИИ и промптами, и усердно работал, чтобы опередить атакующих. Мы думаем, что ему, вероятно, это удалось».

Тем не менее, авторы признали неразрешённую криптографическую неопределённость. Из-за свойств конфиденциальности Orchard и природы ошибки они заявили, что не существует окончательного способа доказать исключительно криптографическими средствами, была ли уязвимость использована до исправления.

Shielded Labs рассматривает новый пул и формальную верификацию

Чтобы решить эту проблему, Shielded Labs вместе с другими разработчиками Zcash изучает предложенное сетевое обновление. План предусматривает развёртывание нового защищённого пула и применение учёта по принципу турникета для монет, перемещаемых из существующего пула Orchard, с целью позволить любому проверить целостность эмиссии Zcash и доказать отсутствие поддельных ZEC в Orchard. Подробности, включая компромиссы и механику реализации, ожидаются в следующем посте на следующей неделе. Любое крупное обновление по-прежнему потребует поддержки сообщества и стандартного процесса управления перед активацией.

Суайхарт заявил, что второй пул Orchard, в принципе, может быть целью обновления NU7 в конце июля, хотя он не занял окончательной позиции относительно того, следует ли идти этим путём. Он утверждал, что более крупная проблема заключается в предотвращении повторения подобных сбоев, и самым сильным ответом на неё является формальная верификация.

«Формальная верификация решает эту проблему», — написал Суайхарт. «Можно построить математическое доказательство, чтобы свести части, которые люди должны проверять, к краткому, читаемому изложению правил. Затем компьютер проверяет весь свод правил, чтобы убедиться, что он соответствует. Инструменты ИИ теперь могут выполнять работу по написанию этих доказательств».

Shielded Labs заявила, что уже ускоряет упреждающую работу по безопасности с Хорнби и Anthropic, инициируя проект по формальной верификации схемы Orchard, а также открывает вакансии на должности руководителя отдела безопасности и криптографа. Этот эпизод оставляет Zcash с трудным, но ясным путём: восстановить доверительные предположения вокруг Orchard, доказать целостность эмиссии там, где это возможно, и приблизить будущую разработку защищённых систем к гарантиям, проверяемым машиной, а не к сложностям, проверяемым человеком.

За последние 24 часа курс ZEC упал почти на 45% на фоне неопределённости. На момент публикации он торговался на уровне 337 долларов.

ZEC снова торгуется ниже уровня 1.618 Фибоначчи, недельный график | Источник: ZECUSDT на TradingView.com

Трендовые криптовалюты

Связанные с этим вопросы

QКакой критический недостаток был обнаружен в протоколе Zcash, и к каким последствиям он мог привести?

AБыл обнаружен критический недостаток в приватном пуле Orchard, который позволял злоумышленнику создавать неограниченное количество поддельных ZEC (монет Zcash) без возможности обнаружения. Уязвимость была реальной и эксплуатируемой.

QКто и каким образом обнаружил уязвимость в Orchard?

AУязвимость обнаружил исследователь безопасности Тейлор Хорнби 29 мая 2026 года. Он работал в компании Shielded Labs и для анализа использовал комбинацию традиционных методов и нового инструмента — модели искусственного интеллекта Anthropic Opus 4.8, выпущенной накануне.

QПочему невозможно доказать, была ли уязвимость эксплуатирована до её исправления?

AИз-за приватных свойств пула Orchard, который скрывает суммы транзакций и их историю. Не существует криптографического способа однозначно доказать, использовалась ли уязвимость до развёртывания экстренного исправления, так как это нарушило бы принципы конфиденциальности системы.

QКакие меры были приняты для устранения уязвимости и обеспечения целостности предложения ZEC в будущем?

AАварийное исправление было развёрнуто 1 июня 2026 года. Shielded Labs совместно с другими разработчиками Zcash исследует возможность сетевого обновления, которое развернёт новый приватный пул и введёт учёт перемещения монет из старого пула Orchard. Также ускоряется работа по формальной верификации схемы Orchard для предотвращения подобных ошибок.

QКак отреагировал рынок на новость об уязвимости, и какую техническую причину назвали разработчики?

AЗа 24 часа после раскрытия информации цена ZEC упала почти на 45%. Техническая причина уязвимости заключалась в недостаточно строгом ограничении одного из элементов схемы Orchard, что позволяло передавать в операцию эллиптической кривой произвольные ложные данные, при этом проверка умножения всё равно проходила успешно.

Похожее

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

Год назад президент Дональд Трамп подписал закон GENIUS Act, но регуляторы до сих пор не завершили его реализацию. Ключевые агентства, такие как OCC, ФРС, FDIC и Министерство финансов, продолжают разрабатывать важные правила, касающиеся резервов эмитентов, требований к капиталу, ликвидности, хранения активов и управления рисками. Хотя срок окончательного утверждения норм истек 18 июля, консультации с общественностью по некоторым предложениям всё ещё продолжаются. Несмотря на нормативную неопределенность, отрасль стейблкоинов выросла до более чем 310 миллиардов долларов. Однако таким эмитентам, как Circle и Paxos, всё ещё приходится работать в условиях незавершенных стандартов ликвидности и хранения, что усложняет планирование и операционную устойчивость. Регуляторы планируют начать применять закон с 18 января 2027 года. Тем временем закон уже стимулирует институциональное участие: BlackRock, JPMorgan, Visa и другие крупные игроки запускают продукты, связанные со стейблкоинами. Законодатели, такие как сенатор Синтия Ламмис, призывают к дальнейшим шагам, включая принятие CLARITY Act, для укрепления лидерства США в сфере цифровых активов. Завершение оставшихся правил определит скорость широкого внедрения регулируемых стейблкоинов в финансовую систему страны.

ambcrypto5 ч. назад

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

ambcrypto5 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

Во второй половине 2026 года ликвидность становится ключевым фактором на рынке криптовалют. В то время как общая капитализация стейблкоинов сократилась, в экосистеме Solana наблюдается обратная тенденция: за год было выпущено (отчеканено) более 70 миллиардов долларов в USDC. Это увеличило ликвидность в сети, а количество ежемесячных активных пользователей Solana превысило 100 миллионов. Однако значительный приток стейблкоинов пока не привёл к устойчивому восстановлению. Цена SOL упала более чем на 35% в 2026 году, отставая от снижения Bitcoin. Также наблюдается спад в ключевых показателях активности сети: количество транзакций и торговый объём снизились по сравнению с первым кварталом. Это указывает на то, что растущая ликвидность, возможно, питает в основном спекулятивную активность, а не фундаментальный спрос. В итоге, несмотря на приток USDC, слабость ценового действия SOL и ончейн-активности сохраняется, что может создать риски для её восстановления во второй половине года.

ambcrypto6 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

ambcrypto6 ч. назад

Стажер, 120 тысяч юаней в месяц

"Возможности трудоустройства ошеломляют". На этой неделе в соцсетях стало вирусным сообщение: студент класса Яо (элитная программа Университета Цинхуа) показал предложение о стажировке с ежедневной зарплатой в 5500 юаней до вычета налогов. Это составляет более 120 000 юаней в месяц. Хотя такая зарплата предназначена лишь для небольшого числа студентов, она демонстрирует ожесточенную конкуренцию за таланты в сфере ИИ. Компания DeepSeek, привлекшая первый раунд финансирования в 50 млрд юаней, активно расширяет штат и предлагает высокие зарплаты стажерам, особенно выпускникам элитных программ, таким как класс Яо. Другие технологические гиганты, включая Huawei, Tencent, ByteDance и Moon Dark Side (создатель Kimi), также усиливают "войну за таланты", предлагая щедрые пакеты компенсаций, включая высокие зарплаты, опционы на акции и участие в ключевых проектах, даже студентам и школьникам. На рынке труда ИИ наступил самый "безумный" год: годовые пакеты для выдающихся выпускников в ведущих компаниях могут достигать миллионов юаней, удваиваясь из года в год. Все больше молодых специалистов, часто в возрасте 20-30 лет и выпускников престижных вузов, занимают ключевые позиции, определяя будущее ИИ. Конкуренция в области ИИ — это не только гонка моделей и вычислительных мощностей, но и битва за плотность талантов, где молодое поколение начинает менять правила игры.

marsbit6 ч. назад

Стажер, 120 тысяч юаней в месяц

marsbit6 ч. назад

Торговля

Спот

Популярные статьи

Как купить ZEC

Добро пожаловать на HTX.com! Мы сделали приобретение Zcash (ZEC) простым и удобным. Следуйте нашему пошаговому руководству и отправляйтесь в свое крипто-путешествие.Шаг 1: Создайте аккаунт на HTXИспользуйте свой адрес электронной почты или номер телефона, чтобы зарегистрироваться и бесплатно создать аккаунт на HTX. Пройдите удобную регистрацию и откройте для себя весь функционал.Создать аккаунтШаг 2: Перейдите в Купить криптовалюту и выберите свой способ оплатыКредитная/Дебетовая Карта: Используйте свою карту Visa или Mastercard для мгновенной покупки Zcash (ZEC).Баланс: Используйте средства с баланса вашего аккаунта HTX для простой торговли.Третьи Лица: Мы добавили популярные способы оплаты, такие как Google Pay и Apple Pay, для повышения удобства.P2P: Торгуйте напрямую с другими пользователями на HTX.Внебиржевая Торговля (OTC): Мы предлагаем индивидуальные услуги и конкурентоспособные обменные курсы для трейдеров.Шаг 3: Хранение Zcash (ZEC)После приобретения вами Zcash (ZEC) храните их в своем аккаунте на HTX. В качестве альтернативы вы можете отправить их куда-либо с помощью перевода в блокчейне или использовать для торговли с другими криптовалютами.Шаг 4: Торговля Zcash (ZEC)С легкостью торгуйте Zcash (ZEC) на спотовом рынке HTX. Просто зайдите в свой аккаунт, выберите торговую пару, совершайте сделки и следите за ними в режиме реального времени. Мы предлагаем удобный интерфейс как для начинающих, так и для опытных трейдеров.

723 просмотров всегоОпубликовано 2024.03.29Обновлено 2026.06.02

Как купить ZEC

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ZEC (ZEC) представлены ниже.

活动图片