Penulis:Zooko Wilcox, Jason McGee
Diterjemahkan oleh: Luffy, Foresight News
Baru-baru ini, modul Orchard Zcash mengalami kerentanan keamanan, dua pertanyaan utama yang menjadi perhatian umum adalah: Apakah total pasokan token Zcash abnormal? Apakah aset pengguna aman?
Saat ini, berbagai diskusi membaur dengan beberapa topik berbeda, banyak orang sulit memahami dampak sebenarnya kerentanan ini terhadap pengguna biasa. Artikel ini akan membahas masalah-masalah ini, menguraikan makna di baliknya satu per satu.
Kerentanan Orchard ini terutama memunculkan empat pertanyaan kunci:
- Apakah kerentanan telah dieksploitasi oleh peretas?
- Apakah aset sah yang disimpan di Orchard dapat ditarik kembali dengan normal?
- Dapatkah pengguna memverifikasi sendiri bahwa total pasokan Zcash tidak disuntik secara artifisial?
- Bagaimana memastikan proyek tidak memiliki kerentanan pemalsuan serupa lainnya?
Apakah Kerentanan Sudah Dieksploitasi?
Saat ini belum ada kesimpulan pasti. Secara keseluruhan, kemungkinan kerentanan ini telah dieksploitasi sebelumnya relatif rendah, tetapi kami tidak dapat 100% menyingkirkan kemungkinan ini, terutama berdasarkan tiga poin:
- Selama bertahun-tahun, banyak ahli kriptografi dan peneliti keamanan terkemuka di dunia telah mengaudit kode Zcash, kerentanan ini tidak pernah ditemukan. Kerentanan ini ditemukan secara aktif oleh Taylor Hornby dari Shielded Labs melalui penyelidikan, bukan kebetulan terungkap. Dia menggunakan teknologi deteksi keamanan AI dan alat yang dikembangkan sendiri khusus untuk menggali cacat tersembunyi semacam ini. Kerentanan seperti ini memiliki ambang batas yang tinggi, sulit ditemukan dan dieksploitasi oleh orang yang bukan ahli basis kode Zcash.
- Setelah kerentanan terungkap, tim pengembangan Zcash segera bekerja sama dengan kolam penambangan besar untuk sementara membekukan kolam dana Orchard dan mendorong program perbaikan, secara signifikan mempersempit jendela serangan peretas.
- Serangan di bidang kripto sebagian besar bertujuan untuk keuntungan cepat, begitu kerentanan dipublikasikan, peretas biasanya segera mencairkan aset. Untuk mendapat untung dari kerentanan ini, peretas perlu mentransfer ZEC palsu keluar dari kolam dana Orchard dan menukarnya dengan aset lain, operasi semacam ini umumnya meninggalkan jejak. Jika kerentanan telah lama dieksploitasi, seharusnya sudah ada bukti terkait. Melihat sejarah industri, peretas umumnya "lari segera setelah berhasil", tidak akan sengaja bersembunyi selama berbulan-bulan bahkan bertahun-tahun.
Apakah Aset Sah di Dalam Orchard Masih Dapat Ditarik?
Kami yakin dapat ditarik dengan normal, dengan syarat kerentanan tidak pernah dieksploitasi. Jika penilaian ini benar, semua aset sah yang disimpan di Orchard oleh pengguna dapat berhasil ditarik.
Sebaliknya, jika peretas telah memanfaatkan kerentanan untuk membuat token palsu dan memasukkannya ke kolam dana, saluran transfer yang ada akan membatasi jumlah total penarikan, batas atas penarikan sama dengan total jumlah token yang sah disimpan pada awalnya. Dalam skenario ini, begitu token palsu ditarik terlebih dahulu, sebagian aset sah pengguna mungkin tidak dapat ditarik sepenuhnya.
Kami rasa kemungkinan skenario ekstrem di atas tidak tinggi. Jika Anda masih khawatir, Anda dapat menarik aset keluar dari kolam Orchard, tetapi sebelumnya, Anda perlu memahami risiko potensial dari cara penarikan yang berbeda:
- Transfer ke alamat publik (t-address): Jumlah transfer dan waktu akan sepenuhnya terbuka, aset juga akan terikat secara publik dengan alamat tersebut, benar-benar kehilangan privasi.
- Transfer ke kolam privasi Sapling: Jumlah transfer dan waktu masih akan dicatat, tetapi tidak akan mengikat aset ke alamat spesifik dan riwayat transaksi, privasi lebih baik daripada alamat publik. Perlu diperhatikan, Sapling bergantung pada upacara inisialisasi terpercaya yang diselesaikan pada 2018, yang itu sendiri memiliki risiko keamanan tambahan.
- Dompet: Di antara dompet kustodi mandiri utama saat ini, hanya YWallet dan Zkool yang mendukung kolam Sapling.
- Dompet atau platform kustodi lainnya: Juga dapat terjadi berbagai masalah tak terduga seperti kesalahan operasional, kegagalan perangkat lunak, kontrol risiko platform, dll.
Secara keseluruhan, risiko di atas masih dalam kendali. Dikombinasikan dengan penilaian "kemungkinan besar kerentanan belum dieksploitasi", membiarkan aset tetap di dompet privasi asli adalah pilihan yang aman. Jika dapat memastikan keamanan operasi, menarik aset juga tidak masalah, Anda dapat memutuskan sesuai kondisi sendiri.
Dapatkah Pengguna Memverifikasi Sendiri Total Pasokan Zcash Tidak Disuntik?
Saat ini sementara belum bisa. Karena keberadaan kerentanan ini, pengguna biasa tidak dapat secara mandiri memeriksa apakah total jumlah token di dalam kolam privasi saat ini telah disuntik.
Namun, peningkatan jaringan Ironwood yang direncanakan proyek akan menyelesaikan masalah ini, logika spesifiknya sebagai berikut:
Peningkatan ini akan sepenuhnya menutup kolam Orchard, tidak mengizinkan aset baru masuk lagi, token di dalam kolam juga tidak dapat bersirkulasi internal, semua aset hanya dapat ditarik melalui saluran asli. Dan jumlah total penarikan dari saluran ini secara ketat sama dengan jumlah token yang sah disimpan pada awalnya, mencegah secara akar kelebihan penarikan token.
Setelah peningkatan selesai, siapa pun yang menjalankan node dapat memverifikasi kepatuhan total pasokan token. Bahkan jika sebelumnya benar-benar ada token palsu, mereka tidak dapat terus bersirkulasi di dalam kolam Orchard, mendorong peningkatan jumlah total penerbitan. Pengguna tidak perlu menebak tindakan peretas atau pengguna lain, protokol itu sendiri dapat menjamin tidak akan ada kasus kelebihan penerbitan token.
Ini sangat penting, kredibilitas jangka panjang Zcash dibangun atas dasar pengguna dapat memverifikasi sendiri total pasokan token. Peningkatan Ironwood akan mengembalikan kemampuan ini kepada pengguna.
Bagaimana Memastikan Proyek Tidak Memiliki Kerentanan Pemalsuan Token Lainnya?
Pada tahap ini tidak dapat memberikan jawaban mutlak, tetapi kami memiliki alasan untuk percaya tidak ada lagi kerentanan serupa.
Shielded Labs bersama beberapa tim melakukan pemeriksaan menyeluruh terhadap protokol Zcash, dengan fokus mencari kerentanan pemalsuan token. Dalam proses pemeriksaan, tim juga menggunakan model AI Mythos dari perusahaan Anthropic yang belum dirilis secara resmi untuk membantu deteksi. Kami akan merilis artikel selanjutnya, menjelaskan secara detail proses dan hasil pemeriksaan ini.
Hingga saat ini, tim belum menemukan kerentanan pemalsuan baru. Pemeriksaan ini mengumpulkan personel teknis senior, tim keamanan profesional, serta alat analisis AI canggih, yang membuat kami semakin yakin bahwa saat ini tidak ada kerentanan berbahaya serupa yang belum terungkap.
Secara bersamaan, kami juga bekerja sama dengan mitra seperti proyek Tachyon untuk melakukan deteksi tambahan, lebih memperkuat garis pertahanan keamanan, perkembangan terkait juga akan diumumkan kemudian.
Kesimpulan
Kerentanan Orchard ini memunculkan empat masalah inti: apakah kerentanan telah dieksploitasi, apakah aset sah dapat ditarik, apakah total pasokan token dapat diverifikasi, apakah ada kerentanan pemalsuan lainnya.
Berdasarkan hasil pemeriksaan yang ada, kami menilai kemungkinan kerentanan telah dieksploitasi sebelumnya sangat rendah, sehingga aset pengguna aman dan total pasokan token saat ini juga tetap normal. Setelah dilakukan pemeriksaan berulang oleh beberapa tim independen, kami juga semakin yakin bahwa proyek saat ini tidak memiliki kerentanan pemalsuan lain yang belum terungkap.
Namun ada satu hal yang tidak dapat dihindari: saat ini pengguna belum dapat memverifikasi sendiri total pasokan token. Sedangkan peningkatan jaringan yang akan datang dapat sepenuhnya menyelesaikan masalah ini. Setelah peningkatan, kolam Orchard akan ditutup permanen, pengguna dapat memverifikasi total pasokan token secara mandiri, tanpa perlu menilai lagi apakah pernah terjadi pemalsuan token.
