یک محقق امنیتی یک آسیبپذیری حیاتی را در "استخر تراکنشهای اورچارد" (Orchard transaction pool) زیکش (Zcash) کشف کرد که میتوانست برای ایجاد مقادیر "نامحدود" از توکنهای تقلبی در این استخر مورد سوءاستفاده قرار گیرد.
شرکت Shielded Labs، یک سازمان مستقل پشتیبانی زیکش، این یافتهها را روز پنجشنبه در پلتفرم رسانه اجتماعی X منتشر کرد. این شرکت اعلام کرد که مهندس امنیتی، تیلور هورنبی، را در ماه آوریل برای بازبینی پروتکل استخدام کرده است.
این اعلامیه همزمان با کاهش شدید قیمت زیکش (ZEC) صورت گرفت. بر اساس صفحه قیمت ZEC در The Block، این رمزارز طی 24 ساعت گذشته 31 درصد کاهش یافت و تا ساعت 11:00 شب به وقت شرقی در روز پنجشنبه به 409.64 دلار رسید. بخش عمدهای از این کاهش در پنج ساعت پس از انتشار این خبر رخ داد.
هورنبی، که مدتهاست از مشارکتکنندگان در اکوسیستم زیکش است، پروتکل را با استفاده از تکنیکهای تحقیقات امنیتی سنتی و با کمک هوش مصنوعی ارزیابی کرد تا آسیبپذیریها را پیش از اینکه توسط عاملان مخرب مورد سوءاستفاده قرار گیرند، شناسایی کند.
در 29 می، هورنبی آسیبپذیری مدار اورچارد را با استفاده از مدل جدید Opus 4.8 شرکت Anthropic کشف کرد و بلافاصله یافتههای خود را با مهندسان آزمایشگاه توسعه باز زیکش (ZODL) به اشتراک گذاشت.
استخر اورچارد، استخر تراکنشهای محافظتشده زیکش است که به کاربران امکان میدهد ZEC را با حریم خصوصی کامل بدون دانش صفر ارسال و دریافت کنند. مدار اورچارد یک سیستم اثبات بدون دانش صفر است که تضمین میکند فقط تراکنشهای معتبر در استخر پذیرفته میشوند.
Shielded Labs نوشت: "این آسیبپذیری واقعی و قابل سوءاستفاده بود." "تیلور، با کمک Opus 4.8، یک اکسپلویت کامل نوشت که هنگام آزمایش آن در یک محیط regtest محلی، مقادیر نامحدود و غیرقابل شناسایی ZEC تقلبی تولید کرد."
این پست توضیح داد که آسیبپذیری ناشی از یک عنصر "کممقید" در مدار اورچارد بود که امکان وارد کردن ورودیهای نادرست دلخواه به یک ضرب منحنی بیضوی را فراهم میکرد و همچنان تأیید میشد.
Shielded Labs اعلام کرد که اگرچه این آسیبپذیری در 1 ژوئن پچ شد، اما از زمان فعالسازی اورچارد در ماه می 2022 وجود داشته است.
Shielded Labs در پست خود نوشت که ویژگیهای حفظ حریم خصوصی اورچارد و ماهیت آسیبپذیری، دانستن اینکه آیا استخر قبل از کشف این نقص مورد سوءاستفاده قرار گرفته است یا خیر را دشوار میکند.
با وجود این عدم قطعیت، Shielded Labs اعلام کرد که تیم "بیش از حد نگران" نیست که جعل قبل از رفع اشکال اتفاق افتاده باشد، زیرا این آسیبپذیری برای سالها، حتی تحت نظارت بهترین رمزنگاران جهان، ناشناخته مانده بود.
در این پست آمده است: "این کشف تصادفی نبود – بلکه نتیجه یک تلاش عمدی برای شناسایی آسیبپذیریهای این چنینی قبل از اینکه عاملان مخرب بتوانند اقدام کنند، بود." "[هورنبی] از جدیدترین ابزارهای هوش مصنوعی که تنها برای محققان امنیتی کلاه سفید در دسترس است، به همراه یک مهار هوش مصنوعی سفارشی پیچیده و پرامپتها استفاده کرد و سخت تلاش کرد تا از مهاجمان پیشی بگیرد. ما فکر میکنیم او احتمالاً موفق شد."
اگرچه Shielded Labs اعلام کرد که بهرهبرداری واقعی از این آسیبپذیری بعید است، اما تیم آن در حال بررسی یک ارتقاء پیشنهادی شبکه است تا به هر کسی اجازه دهد یکپارچگی عرضه زیکش را تأیید کرده و ثابت کند که هیچ زیکش تقلبی در استخر اورچارد وجود ندارد. این پیشنهاد همچنین یک استخر محافظتشده جدید را مستقر میکند و حسابداری "چرخشی" (turnstile accounting) را بر روی تمام کوینهای موجود در استخر اورچارد اعمال خواهد کرد.
در این پست آمده است: "این یک آسیبپذیری جدی بود، و ما معتقدیم که شفاف بودن در مورد معنای آن برای کاربران زیکش اهمیت دارد." "در حالی که هیچکس نمیخواهد چنین آسیبپذیری را کشف کند، ما مطمئن هستیم که زیکش به خوبی برای بازیابی موقعیت خود قرار دارد."
سلب مسئولیت: The Block یک رسانه مستقل است که اخبار، تحقیقات و دادهها را ارائه میدهد. از نوامبر 2023، Foresight Ventures سهامدار عمده The Block است. Foresight Ventures در سایر شرکتهای حوزه کریپتو سرمایهگذاری میکند. صرافی کریپتو Bitget یک LP اصلی برای Foresight Ventures است. The Block به طور مستقل به فعالیت خود ادامه میدهد تا اطلاعات عینی، تاثیرگذار و به موقع در مورد صنعت کریپتو ارائه دهد. در اینجا اطلاعات مالی فعلی ما آمده است. © 2026 The Block. کلیه حقوق محفوظ است. این مقاله فقط برای اهداف اطلاعاتی ارائه شده است. این مطلب به عنوان مشاوره حقوقی، مالیاتی، سرمایهگذاری، مالی یا سایر مشاورهها ارائه نشده و قصد ارائه آن را ندارد.
