Bốn câu hỏi về lỗ hổng Zcash Orchard: Đã từng bị khai thác? Tiền có thể truy tìm được? Nguồn cung có thể kiểm tra? Còn lỗ hổng khác không?
Tác giả: Jason McGee (Giám đốc điều hành Shielded Labs) & Zooko Wilcox (Người sáng lập Zcash)
Bài viết giải đáp bốn câu hỏi chính xoay quanh lỗ hổng nghiêm trọng (có thể tạo ZEC giả) từng tồn tại trong nhóm giao dịch riêng tư Orchard của Zcash:
1. **Lỗ hổng đã bị khai thác chưa?** Nhóm phát triển đánh giá khả năng bị khai thác là thấp, dù không thể loại trừ hoàn toàn. Lý do: lỗi rất khó phát hiện, được tìm thấy nhờ nỗ lực chủ động; nhóm đã nhanh chóng vá lỗi; và thông thường, nếu bị khai thác, sẽ có bằng chứng rõ ràng xuất hiện.
2. **Người dùng có thể lấy lại tiền hợp pháp trong Orchard không?** Nếu lỗ hổng chưa bị khai thác, tất cả số ZEC hợp pháp đều có thể được lấy lại. Tuy nhiên, bài viết khuyến nghị người dùng thận trọng có thể chuyển tiền ra khỏi Orchard, đồng thời cảnh báo về các rủi ro tiềm ẩn khi chuyển sang địa chỉ minh bạch (t-addr) hoặc nhóm Sapling.
3. **Người dùng có thể tự xác minh tổng cung ZEC không?** Hiện tại thì **chưa thể**. Lỗ hổng đã phá vỡ khả năng tự xác minh này. Tuy nhiên, bản nâng cấp "Ironwood" được đề xuất sẽ giải quyết vấn đề bằng cách "niêm phong" nhóm Orchard (ngừng nhận/luân chuyển tiền mới), chỉ cho phép tiền hợp pháp rời đi thông qua cơ chế chuyển đổi hiện có. Điều này sẽ khôi phục khả năng cho mọi người tự xác minh tính toàn vẹn của tổng cung Zcash.
4. **Có lỗ hổng giả mạo nào khác không?** Các cuộc kiểm tra chuyên sâu, bao gồm sử dụng AI, từ nhiều nhóm vẫn đang được tiến hành. Cho đến nay, **chưa phát hiện thêm lỗ hổng nào tương tự**, làm tăng sự tin tưởng rằng không còn lỗi nào như vậy. Tuy nhiên, cần thêm công việc để khẳng định chắc chắn.
**Kết luận:** Nhóm phát triển tin rằng lỗ hổng có thể chưa bị khai thác, số tiền hợp pháp an toàn và không còn lỗi tương tự. Quan trọng nhất, bản nâng cấp Ironwood sắp tới sẽ khôi phục khả năng then chốt: cho phép người dùng **tự xác minh** tổng cung ZEC, thay vì phải tin tưởng vào đánh giá của bất kỳ ai.
marsbit06/15 07:52