5 июня основатель Zcash Зуко Уилкокс опубликовал редкий подробный пост-разбор по вопросам безопасности.
В статье раскрывается, что исследователь безопасности Тейлор Хорнби 29 мая обнаружил серьезную уязвимость подделки в новейшем пуле конфиденциальности Zcash Orchard. Злоумышленник может сконструировать транзакцию, которая изначально не должна была пройти проверку, и генерировать внутри Orchard неограниченное количество поддельного ZEC, которое невозможно обнаружить.
Это не теоретический риск. Тейлор уже написал полную программу эксплуатации в локальной тестовой среде и фактически сгенерировал поддельный ZEC. Если бы та же программа была развернута в основной сети, злоумышленник теоретически также мог бы генерировать неограниченное количество поддельных активов в своем основном кошельке.
После публикации этой информации цена ZEC упала более чем на 30%. По данным CoinMarketCap, в течение 24 часов ZEC достиг минимума в 408,39 доллара, что примерно на треть ниже пика в 610,47 доллара в тот же период. К сожалению, это был один из немногих активов на крипторынке с отличным эффектом обогащения и хорошим нарративом, поддерживаемым многими авторитетными людьми, который теперь полностью разрушен этой уязвимостью.
Если смотреть только на результат, это похоже на очередную знакомую криптоаварию: обнаружена уязвимость, разработчики срочно исправляют, рынок впадает в панику.
Но настоящее затруднение в случае с Orchard заключается в том, что хотя уязвимость была исправлена, сообщество Zcash не может прямо ответить на другой, более чувствительный вопрос:
Мог ли кто-нибудь использовать эту уязвимость за последние четыре года?
Срочное исправление за четыре дня: Orchard временно приостановил работу
Orchard — это новейший протокол конфиденциальных платежей Zcash, запущенный в 2022 году, и один из основных пулов конфиденциальности, используемых Zcash в настоящее время. Пользователи могут скрывать балансы, суммы транзакций и направления движения средств, одновременно доказывая сети с помощью доказательств с нулевым разглашением, что транзакция соответствует правилам.
Согласно хронологии, раскрытой Зуко, Shielded Labs и сообществом Zcash, 29 мая Тейлор обнаружил аномалию при целевом аудите безопасности схемы Orchard и немедленно сообщил об уязвимости в частном порядке в Zcash Open Development Lab (ZODL). При этом Shielded Labs — это независимая организация поддержки экосистемы Zcash со штаб-квартирой в Швейцарии, работающая на пожертвования, долгое время участвующая в разработке протокола, обеспечении безопасности и устойчивости сети Zcash и не входящая в состав Zcash Foundation или ZODL.
Инженеры ZODL подтвердили реальность проблемы в течение нескольких часов после получения отчета и начали искать решение для исправления. Поскольку прямое публичное исправление кода могло раскрыть принцип уязвимости, команда сначала выбрала временное отключение Orchard: запрет на создание новых выходов Orchard, а также на расходование средств, уже находящихся в Orchard.
После координации обновлений между разработчиками, майнерами, операторами узлов, биржами и провайдерами инфраструктуры экстренный софт-форк вступил в силу 2 июня. Затем Zcash обновил верификационные ключи схемы Orchard через хард-форк и восстановил функциональность Orchard 3 июня. Прозрачные адреса и пул конфиденциальности Sapling могли продолжать работу в течение этого периода.
Весь процесс, от раскрытия уязвимости до завершения исправления, занял всего несколько дней. С точки зрения скорости реагирования на чрезвычайные ситуации, это уже довольно успешное решение.
Но рынок не успокоился после исправления уязвимости, потому что исправление решает будущее, а не прошлое.
Рынок беспокоится не о том, что атака все еще может произойти, а о том, что атака, возможно, уже произошла
Обычные инциденты безопасности обычно имеют относительно четкий масштаб ущерба. При краже из смарт-контракта можно отследить, сколько активов злоумышленник перевел; при появлении уязвимости в мосте можно подсчитать потоки средств и затронутые адреса.
Ситуация с Orchard иная.
Согласно разъяснениям Shielded Labs, эта уязвимость может быть использована для генерации неограниченного количества поддельного ZEC внутри Orchard, который невозможно обнаружить. Поскольку сам Orchard обладает свойствами конфиденциальности, внешние стороны не могут криптографическими методами точно доказать, использовал ли кто-либо этот вектор атаки до исправления уязвимости.
Это означает, что рынок столкнулся не с определенной цифрой ущерба, а с трудноизмеримой неопределенностью:
Если в прошлом действительно кто-то обнаружил и использовал уязвимость, существуют ли внутри Orchard поддельные ZEC? Если да, то каков их объем? Остаются ли эти активы в пуле конфиденциальности? Покидали ли они его когда-либо через обычные транзакции?
Что еще важнее, это окно риска появилось не 29 мая. Shielded Labs заявляет, что уязвимость существовала с момента запуска Orchard в мае 2022 года и до завершения экстренного исправления в июне 2026 года. Другими словами, проблема оставалась незамеченной почти четыре года.
Рынок действительно беспокоит не то, что произошло между 29 мая и 2 июня, а то, могло ли за последние четыре года произойти что-то ненормальное, что нельзя было наблюдать напрямую.
Это и является основной причиной падения ZEC более чем на 30%.
Рынок продает не просто уязвимость, а переоценку достоверности объема предложения.
Как упущение математического ограничения превратилось в риск «бесконечной эмиссии»
Увидев слова «уязвимость бесконечной эмиссии», первая мысль — что хакеры получили права администратора или какой-то бэкдор в протоколе.
В реальности все более фундаментально.
Безопасность Orchard зависит от схемы доказательств с нулевым разглашением (Orchard circuit). Пользователи могут скрывать конкретное содержимое транзакции, но должны доказать сети, что их транзакция соответствует правилам протокола. Самое важное из этих правил — сохранение стоимости (asset conservation): транзакция не может создавать новую стоимость из ничего.
Проще говоря, пользователь может не раскрывать, сколько ZEC у него есть или сколько ZEC он кому-то перевел, но сеть должна иметь возможность подтвердить:
Потраченные активы действительно поступили из законных входных данных.
Проблема, обнаруженная Тейлором, возникла при проверке умножения на эллиптической кривой в схеме Orchard.
Shielded Labs описывает это как «under-constrained element» (недоограниченный элемент схемы). Поскольку соответствующие математические отношения не были полностью ограничены, злоумышленник может вводить произвольные ошибочные данные в процесс умножения на эллиптической кривой, но процесс проверки все равно может вернуть успешный результат.
Другими словами, злоумышленнику не нужно взламывать криптографические алгоритмы или контролировать сетевые узлы.
Им нужно лишь сконструировать набор данных, который не должен был бы быть верным, чтобы система ошибочно поверила, что транзакция по-прежнему удовлетворяет условию сохранения стоимости.
Когда это ошибочное доказательство принимается сетью, несуществующий ZEC может считаться законным активом и оставаться в Orchard.
Именно поэтому Shielded Labs использовала чрезвычайно резкую формулировку:
unlimited, undetectable counterfeit ZEC (неограниченный, необнаруживаемый поддельный ZEC)
Настоящая опасность не только в «неограниченности», но и в «невозможности обнаружения».
Между двумя формулировками существует важное различие
Zcash Foundation в своем объявлении после завершения обновления заявила, что в настоящее время нет доказательств использования уязвимости, необнаруженного несанкционированного создания стоимости, средства и конфиденциальность пользователей не затронуты. В объявлении также подчеркивается, что существующий механизм Turnstile Accounting в Zcash может отслеживать перемещение стоимости между различными пулами средств и защищать верхний предел общего предложения в 21 миллион ZEC.
В то же время Shielded Labs четко заявляет, что невозможно доказать лишь криптографическими методами, что в истории Orchard никогда не было поддельного ZEC.
Эти два утверждения кажутся противоречивыми, но на самом деле они касаются двух разных уровней проблемы.
Существующий Turnstile Accounting в Zcash можно понимать как «шлюз» между различными пулами средств. Система может подсчитывать, сколько всего законных активов поступило в Orchard, и ограничивать объем активов, которые могут покинуть Orchard.
Предположим, что в Orchard изначально было только 1 миллион законных ZEC. Тогда даже если злоумышленник подделал больше активов внутри, система не позволит выйти большему количеству активов, чем законный объем. Это позволяет избежать легкого превышения верхнего предела общего предложения всей сети Zcash.
Но этот механизм не может напрямую доказать, что внутри Orchard никогда не было поддельных монет.
Если поддельные активы все еще находятся в Orchard или постепенно заменяют реальные активы в пределах разрешенного лимита выхода, исходный статистический механизм может не дать окончательного исторического заключения.
Об этом почти старейшем криптопроекте конфиденциальности мы можем знать только, что в настоящее время нет доказательств аномальной эмиссии, но сообщество все еще не может напрямую доказать, что внутри Orchard никогда не существовало поддельных активов.
Именно этот тип риска труднее всего обработать рынку.
Проблема не в том, сколько поддельных монет уже обнаружено, а в том, что никто не может окончательно подтвердить, что поддельные монеты никогда не появлялись.
Как Zcash докажет заново, что в Orchard нет поддельных монет?
Исправление уязвимости — это только первый шаг.
Shielded Labs уже заявила, что совместно с другими разработчиками Zcash изучает новое предложение по обновлению сети. План включает развертывание нового пула конфиденциальности и принудительное применение Turnstile Accounting ко всем активам, мигрирующим из Orchard.
Это эквивалентно установке нового шлюза для миграции из Orchard.
Активы в старом Orchard, желающие перейти в новый пул конфиденциальности, должны будут пройти миграцию по проверяемым правилам. Система сможет пересчитать объем выходящих законных активов и определить, существуют ли дополнительные ZEC, которые не могут быть нормально перенесены.
Если обновление успешно завершится, любой сможет проверить целостность предложения Zcash и далее доказать отсутствие поддельных активов в Orchard.
Значение этой схемы не только в исправлении кода, но и в восстановлении доверия рынка к Orchard.
Потому что в системе конфиденциальности доверие исходит не из «мы считаем, что атаки не было», а должно исходить из «любой может проверить, что атаки не было».
Shielded Labs сама признает, что вероятность злонамеренного использования ранее была низкой. Уязвимость оставалась скрытой годами, ее обнаружение было чрезвычайно сложным; Тейлор целенаправленно искал такие проблемы в рамках специального исследовательского проекта по безопасности; после раскрытия уязвимости экосистема быстро закрыла окно для атаки в течение нескольких дней.
Но Shielded Labs одновременно подчеркивает, что пользователи не должны полагаться лишь на субъективное суждение команды разработчиков.
Рынку нужны доказательства.
Почему уязвимость, скрывавшаяся четыре года, была обнаружена именно сейчас?
В деле Orchard есть еще одна деталь, которую рынок легко упускает из виду.
28 мая Anthropic выпустила Claude Opus 4.8.
Днем позже Тейлор обнаружил уязвимость в Orchard.
Согласно разборам Зуко и Shielded Labs, вскоре после выпуска Opus 4.8 Тейлор использовал ее для целенаправленного аудита схемы Orchard и 29 мая обнаружил проблему. Затем с помощью Opus 4.8 он написал полную программу эксплуатации, которая сгенерировала неограниченное количество необнаружимого поддельного ZEC в локальной среде.
Эта деталь заслуживает внимания не потому, что ИИ уже может самостоятельно проводить криптографический аудит.
Открытая информация не подтверждает такого преувеличенного вывода.
Сам Тейлор — опытный исследователь безопасности. Shielded Labs также упоминает, что он одновременно использовал традиционные методы исследования безопасности, индивидуальные инструментальные фреймворки на основе ИИ и специально разработанные промпты. Opus 4.8 был важным инструментом в процессе аудита, но не единственным фактором.
Что действительно примечательно, так это то, что Тейлор использовал не Claude Mythos Preview — модель от Anthropic, специально предназначенную для сценариев кибербезопасности с ограниченным доступом, а только что выпущенную публично универсальную модель Opus 4.8.
Позиционирование Anthropic для Mythos Preview — это передовая модель со значительными способностями к обнаружению и эксплуатации уязвимостей. Из-за рисков потенциального злоупотребления Anthropic не открыла эту модель напрямую для публики, а предоставила доступ через Project Glasswing отобранным партнерам.
В отличие от этого, Opus 4.8 — это универсальная модель, доступная обычным разработчикам. Anthropic в примечаниях к выпуску подчеркивает улучшения в анализе кода, выполнении сложных задач и выявлении дефектов в коде.
Это делает инцидент с Orchard сигналом, заслуживающим большего внимания:
Способность обнаруживать ценные уязвимости распространяется от небольшого количества специализированных моделей безопасности к универсальным моделям.
Универсальная модель, выпущенная публично всего за день, под руководством профессионального исследователя уже может участвовать в аудите сложной схемы доказательств с нулевым разглашением и помочь обнаружить ключевую уязвимость, скрывавшуюся почти четыре года.
Это не означает, что криптографы больше не важны.
Напротив, опыт Тейлора, выбор цели для аудита и способность проверять вывод модели остаются ключевыми во всем процессе.
Но комбинация эксперта и ИИ значительно снижает стоимость обнаружения сложных уязвимостей.
Уязвимость закрыта, но рынок все еще ждет ответа
Для Zcash самое срочное окно для атаки закрыто.
Функциональность Orchard восстановлена, схемы проверки обновлены, и в настоящее время нет доказательств злонамеренного использования уязвимости.
Но падение ZEC более чем на 30% показывает, что рынка заботит не только то, исправлен ли код.
Рынок все еще ждет более полного ответа:
Появлялись ли внутри Orchard поддельные ZEC за последние почти четыре года?
Если развертывание нового пула конфиденциальности и обновление Turnstile Accounting пройдут успешно, у сообщества наконец появится шанс доказать целостность предложения и восстановить доверие рынка.
Но до завершения этого доказательства в деле Orchard остается интрига, от которой нельзя легко отмахнуться:
Те поддельные ZEC, которые теоретически можно было создать в неограниченном количестве, действительно никогда не существовали или же они когда-то скрывались там, где никто не мог их напрямую увидеть?
