Zcash раскрыл критическую уязвимость в экранированном пуле Orchard: ZEC просел на 45%

По данным CoinMarketCap, в экранированном пуле Orchard сети Zcash, который используется для приватных транзакций, раскрыта критическая уязвимость. В теории она позволяла злоумышленникам создавать поддельные, но неотличимые от настоящих монеты ZEC, что резко усилило опасения рынка относительно надежности механизма конфиденциальных переводов. После публикации информации курс ZEC в течение 24 часов снижался до 45%. Основная часть падения пришлась на первые часы после раскрытия уязвимости, что отражает быстрый рост обеспокоенности инвесторов безопасностью приватного пула. Проблему обнаружил исследователь безопасности Taylor Hornby в ходе заказного аудита, проведенного Shielded Labs — независимой организацией, поддерживающей экосистему Zcash. В отчете уязвимость локализована в схеме Orchard — системе доказательств с нулевым разглашением, лежащей в основе экранированных транзакций Zcash. Как отмечают исследователи, первопричина связана с недостаточными ограничениями на входные данные в вычислениях на эллиптических кривых: некорректные значения могли проходить проверку и восприниматься как валидные доказательства. В тестовой среде команда смогла сгенерировать поддельные ZEC, которые не удавалось выявить. В отчете говорится, что дефект присутствовал с момента включения Orchard в мае 2022 года. Исправление выпустили в течение нескольких дней после обнаружения, патч был развернут 1 июня. Shielded Labs оценивает риск как высокий, но отмечает отсутствие явных признаков эксплуатации уязвимости в основной сети. При этом из-за особенностей приватных транзакций невозможно однозначно верифицировать историю переводов извне. На данный момент сторонние наблюдатели не подтвердили аномальные изменения предложения ZEC, однако длительная работа Orchard с этим дефектом может продолжать влиять на восприятие рынком качества управления рисками в Zcash.