Zcash (ZEC) tăng vọt

Một lỗ hổng nghiêm trọng trong nhóm giao dịch được bảo vệ Orchard của Zcash có thể đã cho phép kẻ tấn công tạo ra lượng ZEC giả không giới hạn mà không bị phát hiện, theo tiết lộ mới từ Zooko Wilcox, Jason McGee và nhà nghiên cứu bảo mật Taylor Hornby. Lỗ hổng được phát hiện vào ngày 29 tháng 5, được khắc phục khẩn cấp trước ngày 2 tháng 6, và đã châm ngòi cho cuộc tranh luận về cách Zcash có thể chứng minh tính toàn vẹn nguồn cung trong một hệ thống bảo vệ quyền riêng tư. Lỗi nằm trong một quy tắc được viết thủ công trong mạch Orchard, khiến nó có thể chấp nhận thông tin sai nhưng vẫn cho phép giao dịch hợp lệ. Do tính chất bảo mật của Orchard, không có cách nào để chứng minh bằng mật mã liệu lỗ hổng có bị khai thác trước khi sửa chữa hay không, gây ra lo ngại về tính toàn vẹn nguồn cung. Để giải quyết, Shielded Labs đang xem xét đề xuất nâng cấp mạng để triển khai một nhóm bảo mật mới, nhằm cho phép bất kỳ ai cũng có thể xác minh nguồn cung ZEC. Họ cũng đang đẩy nhanh công việc xác minh chính thức mạch Orchard để ngăn chặn sự cố tương tự trong tương lai. Giá ZEC đã giảm gần 45% trong bối cảnh không chắc chắn này.

AI đang bước vào "Kỷ nguyên Bảo mật Đệ quy" trong ngành công nghiệp tiền mã hóa, một xu hướng được minh họa qua việc Claude Opus 4.8 phát hiện lỗ hổng trong hệ thống bằng chứng không kiến thức (zero-knowledge proof) của Zcash (ZEC). Sự kiện này không chỉ đơn thuần là một phát hiện lỗ hổng mà còn báo hiệu sự thay đổi cơ bản: AI bắt đầu tham gia sâu vào việc hiểu, phân tích và xác minh các hệ thống phức tạp. Trước đây, bảo mật blockchain chủ yếu dựa vào chuyên gia và kiểm toán thủ công. Ngày nay, với khả năng xử lý ngữ cảnh rộng và nhận diện mẫu phức tạp, AI có thể giảm đáng kể chi phí và thời gian phát hiện rủi ro, chuyển đổi bảo mật từ một quy trình kiểm tra định kỳ sang một khả năng giám sát liên tục. Điều này tạo ra một vòng phản hồi tương tự "Tự cải thiện Đệ quy" mà Anthropic mô tả trong nghiên cứu AI - nhưng áp dụng cho bảo mật. WEEX Labs gọi đây là "Bảo mật Đệ quy" (Recursive Security), nơi hệ thống liên tục tham gia vào việc tối ưu hóa và củng cố chính nó. Tuy nhiên, AI cũng trang bị công cụ tương tự cho cả kẻ tấn công, làm tăng tốc độ toàn bộ chu kỳ tấn công-phòng thủ. Thách thức trong tương lai không phải là loại bỏ mọi lỗ hổng, mà là rút ngắn vòng đời của chúng thông qua khả năng phát hiện, phản hồi và khắc phục nhanh chóng hơn. Do đó, giao thức dẫn đầu sẽ là giao thức có khả năng phục hồi mạnh mẽ và hiệu quả xử lý rủi ro cao, đánh dấu sự chuyển dịch từ trạng thái "an toàn tĩnh" sang một hệ thống bảo mật động, tiến hóa không ngừng.

Người sáng lập Zcash, Zooko Wilcox, tuyên bố bản nâng cấp Ironwood được đề xuất sẽ cho phép người dùng xác minh ngay lập tức và không cần tin tưởng vào bên thứ ba rằng nguồn cung ZEC lưu hành là chính xác, kể từ block đầu tiên khi kích hoạt. Điều này nhằm giải quyết lo ngại trong cộng đồng sau khi một lỗ hổng trong nhóm giao dịch riêng tư Orchard được khắc phục. Wilcox nhấn mạnh mục đích chính của Ironwood không phải để chứng minh liệu có từng xảy ra hành vi làm giả coin trong Orchard hay không, mà là để bất kỳ người dùng nào chạy full node đều có thể tự độc lập xác minh nguồn cung hiện tại. Khi Ironwood kích hoạt, cơ chế "turnstile" sẽ theo dõi lượng ZEC hợp lệ đi vào và ra khỏi nhóm, ngăn chặn mọi nỗ lực rút ra nhiều hơn lượng đã vào. Theo Wilcox, điều này có nghĩa là bất kỳ lượng ZEC dư thừa nào trên ngưỡng 4.5 triệu ZEC hợp lệ trong nhóm Orchard cũ sẽ bị "dập tắt" ngay lập tức và không thể lưu thông kinh tế hữu ích. Ông khẳng định cá nhân tin rằng không có ZEC giả, nhưng thiết kế của Ironwood nhằm loại bỏ nhu cầu tin tưởng vào đánh giá của bất kỳ cá nhân nào. Trong mọi kịch bản, Ironwood sẽ cho phép người dùng xác minh rằng không có hơn 16 triệu ZEC đang lưu hành. Theo thời gian, đề xuất này cũng có thể cung cấp bằng chứng về việc liệu Orchard có từng bị khai thác hay không, thông qua việc theo dõi các nỗ lực chuyển lượng ZEC dư thừa không thành công.

Zcash (ZEC) đang nỗ lực khôi phục niềm tin vào mạng lưới tập trung vào quyền riêng tư của mình sau một đợt bán tháo mạnh khiến giá giảm hơn 50%. Sự sụt giảm này được kích hoạt bởi phát hiện về một lỗ hổng nghiêm trọng trong mạch proof zero-knowledge Orchard, có khả năng cho phép tạo ra token ZEC giả mạo. Các nhà phát triển đã nhanh chóng vá lỗ hổng, giúp giá ZEC phục hồi khoảng 70%. Tuy nhiên, do tính chất bảo mật của Orchard, không thể xác minh liệu có đồng ZEC giả nào đã được tạo ra trước đó hay không. Để giải quyết vấn đề này và khôi phục khả năng xác minh nguồi cung lưu hành, một đề xuất mới có tên Ironwood đã được đưa ra bởi Shielded Labs, Zcash Foundation và các đối tác. Mục tiêu chính của Ironwood là trao cho mỗi người dùng khả năng tự xác minh tính toàn vẹn của nguồi cung ZEC. Đề xuất này sẽ chặn các giao dịch tạo coin mới trong pool Orchard và thiết lập một cơ chế "cửa quay" để kiểm soát dòng tiền ra. Hệ thống này cũng có thể cung cấp bằng chứng về việc lỗ hổng có từng bị khai thác hay không, đồng thời vô hiệu hóa bất kỳ đồng ZEC giả mạo nào nếu chúng cố gắng rời khỏi pool.

Đồng sáng lập ZEC trả lời về lỗ hổng Orchard: Chưa có dấu hiệu bị đánh cắp, sẽ đóng bể Orchard Gần đây, mô-đun Orchard của Zcash phát hiện lỗ hổng bảo mật, dấy lên lo ngại về tổng nguồn cung ZEC và sự an toàn tài sản người dùng. Lỗ hổng này đặt ra bốn câu hỏi chính: 1. Lỗ hổng đã bị khai thác chưa? 2. Tài sản hợp pháp trong Orchard có rút ra được không? 3. Người dùng có thể tự xác minh tổng nguồn cung Zcash không? 4. Có lỗ hổng tạo giả tương tự khác không? **Lỗ hổng đã bị khai thác?** Khả năng thấp. Lỗ hổng rất phức tạp, được phát hiện chủ động bởi chuyên gia. Nhóm phát triển nhanh chóng phối hợp với các mining pool để đóng bể Orchard và vá lỗi, thu hẹp cơ hội tấn công. Chưa có bằng chứng nào về việc khai thác để trục lợi. **Tài sản trong Orchard có an toàn?** Nếu lỗ hổng chưa bị khai thác, tài sản hợp pháp có thể rút ra bình thường. Nếu đã bị khai thác, việc rút tiền có thể bị ảnh hưởng nếu mã giả được rút trước. Tuy nhiên, tình huống này được đánh giá là ít xảy ra. Người dùng có thể chọn giữ tài sản trong ví Orchard hiện tại (được coi là an toàn) hoặc chuyển sang địa chỉ minh bạch (mất tính riêng tư) hoặc sang bể Sapling (vẫn giữ một mức độ riêng tư). **Người dùng có thể tự xác minh nguồn cung?** Hiện tại thì không thể. Tuy nhiên, bản nâng cấp mạng Ironwood sắp tới sẽ giải quyết vấn đề này bằng cách đóng vĩnh viễn bể Orchard. Khi đó, tổng số ZEC rút ra sẽ chính xác bằng tổng số ZEC hợp pháp đã gửi vào, cho phép bất kỳ ai cũng có thể tự xác minh nguồn cung. **Có lỗ hổng tạo giả khác không?** Chưa phát hiện thêm lỗ hổng nào tương tự. Shielded Labs và các đối tác đã tiến hành kiểm tra toàn diện, sử dụng cả công cụ AI tiên tiến, và không tìm thấy lỗ hổng tạo giả mới. Các cuộc kiểm tra bổ sung đang được thực hiện để tăng cường bảo mật. **Tóm tắt** Lỗ hổng Orchard có khả năng chưa bị khai thác, tài sản người dùng về cơ bản an toàn và chưa phát hiện lỗi tạo giả khác. Điểm then chốt là người dùng hiện chưa thể tự xác minh nguồn cung, nhưng bản nâng cấp Ironwood sắp tới sẽ khôi phục khả năng này bằng cách đóng bể Orchard vĩnh viễn.