افشای آسیب‌پذیری در استخر Orchard شبکه زی‌کش و سقوط قیمت ZEC

افشای یک آسیب‌پذیری مهم در سازوکار صدور توکن شبکه Zcash که می‌توانست امکان ایجاد نامحدود توکن جعلی ZEC را فراهم کند، موجی از نگرانی در بازار ایجاد کرد و قیمت این ارز دیجیتال را طی ۲۴ ساعت بیش از ۳۰ درصد کاهش داد. این آسیب‌پذیری که در استخر حریم خصوصی Orchard شناسایی شده بود، به سرعت توسط توسعه‌دهندگان برطرف شد، اما ماهیت خصوصی شبکه باعث شده امکان اثبات قطعی سوءاستفاده یا عدم سوءاستفاده از آن در گذشته وجود نداشته باشد.

«زوکو ویلکاکس» (Zooko Wilcox)، بنیان‌گذار زی‌کش، اعلام کرد که پژوهشگر امنیتی «تیلور هورنبی» در تاریخ ۲۹ می یک آسیب‌پذیری مهم در استخر حریم خصوصی Orchard کشف کرده است. این نقص می‌توانست به مهاجمان اجازه دهد محدودیت‌های سیستم را دور زده و به‌صورت نظری تعداد نامحدودی توکن جعلی ZEC ایجاد کنند. به دلیل ساختار رمزنگاری و ویژگی‌های حریم خصوصی در این استخر، شناسایی چنین حمله‌ای با روش‌های معمول بسیار دشوار بود. بررسی‌ها نشان می‌دهد این آسیب‌پذیری از زمان فعال شدن Orchard در ماه می ۲۰۲۲ در شبکه وجود داشته است.

پس از اطلاع از این مشکل، تیم توسعه (ZODL) به سرعت واکنش نشان داد و در تاریخ ۱ ژوئن اصلاحیه امنیتی لازم را منتشر کرد. طبق اعلام تیم توسعه، داده‌های زنجیره‌ای و بررسی‌های انجام‌شده نشان می‌دهد که موجودی کاربران، اطلاعات خصوصی تراکنش‌ها و سقف عرضه ۲۱ میلیون واحدی زی‌کش تحت تأثیر قرار نگرفته است.

با وجود این توضیحات، انتشار خبر آسیب‌پذیری باعث ایجاد نگرانی در بازار شد. داده‌های CoinGecko نشان می‌دهد پس از انتشار این خبر، قیمت ZEC در مدت کوتاهی بیش از ۳۰ درصد کاهش یافت و فشار فروش قابل توجهی در بازار شکل گرفت.

جالب توجه اینکه این آسیب‌پذیری با استفاده از ترکیبی از روش‌های سنتی بررسی امنیت و ابزارهای هوش مصنوعی کشف شده است. پژوهشگر امنیتی با استفاده از مدل هوش مصنوعی Opus 4.8 و یک چارچوب تحلیل اختصاصی توانست کدی برای سوءاستفاده از این نقص طراحی کند و در محیط آزمایشی شبکه، امکان تولید نامحدود توکن‌های جعلی را شبیه‌سازی کند.

×

در حالی که برخی کارشناسان معتقدند احتمال سوءاستفاده از این باگ بسیار پایین بوده و کشف و رفع سریع آن نشان‌دهنده تلاش‌های امنیتی مداوم تیم زی‌کش است، منتقدانی نیز نسبت به این موضوع ابراز نگرانی کرده‌اند. از جمله آرتور هیز، هم‌بنیان‌گذار BitMEX، اعلام کرده است که به دلیل نبود اثبات رمزنگاری قطعی مبنی بر عدم سوءاستفاده از این آسیب‌پذیری، تمام دارایی‌های ZEC خود را فروخته است.

در همین حال، سازمان توسعه‌دهنده اکوسیستم زی‌کش یعنی Shielded Labs اعلام کرده است که برای بازگرداندن اعتماد بازار، در حال بررسی یک ارتقای شبکه است که به کاربران اجازه می‌دهد صحت عرضه توکن‌های ZEC را به‌صورت عمومی بررسی کنند. این طرح شامل ایجاد یک استخر حریم خصوصی جدید و اجرای مکانیزم «turnstile accounting» برای اطمینان از عدم وجود توکن‌های جعلی در استخر Orchard خواهد بود. همچنین تیم توسعه قصد دارد فرآیند اثبات رسمی (formal verification) برای مدارهای رمزنگاری Orchard را نیز اجرا کند.