Zcash یکشبه پس از آنکه توسعهدهندگان آسیبپذیری بحرانی در استخر محافظتشده Orchard پروتکل خود را افشا کردند، با کاهش دو رقمی مواجه شد؛ آسیبپذیری که میتوانست امکان جعل غیرقابل کشف را برای بیش از چهار سال فراهم کند.
به گفته دادههای CoinGecko، این کوین حریم خصوصی از اوج محلی ۶۳۵ دلار در روز چهارشنبه به پایینترین سطح درونروزی ۳۰۹ دلار در روز پنجشنبه سقوط کرد. از آن زمان تاکنون اندکی بهبود یافته و به حدود ۳۳۰ دلار رسیده است که نشاندهنده کاهش ۳۷.۸ درصدی در روز است.
https://t.co/v7BiOdzU9E
— zooko🛡🦓🦓🦓 ⓩ (@zooko) June 4, 2026
این آسیبپذیری در ۲۹ می توسط محقق امنیتی تیلور هورنبی با استفاده از ابزارهای ممیزی با کمک هوش مصنوعی کشف شد.
این مشکل در دو خط کد در مدار Orchard، جزء رمزنگاری که تراکنشهای محافظتشده Zcash را کنترل میکند، قرار داشت و به یک عامل مخرب اجازه میداد تا ZEC جعلی را در استخر محافظتشده بدون امضای درونزنجیرهای ایجاد کند. اگر این باگ قبل از کشف مورد بهرهبرداری قرار میگرفت، هیچ راهی برای اثبات آن وجود نداشت.
Shielded Labs، سازمانی که پشت توسعه Zcash است، در پستی افشاگرانه نوشت: "این آسیبپذیری از زمان فعالسازی Orchard در می ۲۰۲۲ تا زمان اعمال اصلاحیه اضطراری در ۱ ژوئن ۲۰۲۶ وجود داشت. به دلیل ویژگیهای حریم خصوصی Orchard و ماهیت باگ، هیچ راه قطعی برای تعیین اینکه آیا چنین بهرهبرداری رخ داده است یا خیر، تنها با استفاده از رمزنگاری وجود ندارد."
این حادثه بحثها را بر سر یک مشکل ساختاری که به گفته منتقدان فراتر از این باگ خاص است، دوباره شعلهور کرده است. برخلاف بیتکوین یا اتریوم، که در آنها بهرهبرداری درونزنجیرهای بلافاصله قابل مشاهده است، کوینهای حریم خصوصی مانند Zcash شرایطی را ایجاد میکنند که در آنها یک حمله موفق ممکن است هرگز شناسایی نشود.
اودی ورتهایمر، مفسر رمزارز، توییت کرد: "Zcash نوع منحصر به فردی از باگها را فعال میکند که اگر مورد بهرهبرداری قرار گیرند، هیچ کس متوجه نخواهد شد. این نوع منحصر به فرد هنوز هم وجود دارد. این واقعیت که آنها این باگ خاص را برطرف کردند، بیاهمیت است."
به گفته جو اندروز، مدیرعامل Aztec Labs، یک استودیوی محصول با تمرکز بر حریم خصوصی، بررسیهای منحنی بیضوی با محدودیت کمتر، که دستهای از نقصها در قلب این آسیبپذیری هستند، از رایجترین نقاط ضعف در مدارهای ZK تولیدی هستند. اندروز گفت که این الگو برای Zcash جدید نیست و افزود که هوش مصنوعی در حال تسریع سرعت کشف چنین باگهایی در سراسر صنعت است.
اندروز به Decrypt گفت که راهحل بلندمدت، تأیید رسمی مدار همراه با یک سیستم اثبات ثانویه است، رویکردی که اتریوم از قبل برای آن برنامهریزی کرده است. او گفت: "هر دو سیستم باید برای معتبر بودن انتقال وضعیت توافق داشته باشند، که به شدت شانس بهرهبرداری از باگها را کاهش میدهد."
آرتور هیز، مدیرعامل سابق BitMEX، فاش کرد که پس از افشاگری، تمام موقعیت Zcash خود را نقد کرده است.
ریسک فوری برای دارندگان، تورم در سطح زنجیره نیست، بلکه ورشکستگی احتمالی خود استخر Orchard است، به این معنی که دارندگان ZEC محافظتشده ممکن است در صورت رقابت ادعاهای جعلی با ادعاهای مشروع برای یک موجودی محدود استخر، رقیق شوند.
The Holy Trinity is dead. Sadly due to the Orchard Pool exploit, I had to dump our entire $ZEC bag.
- While I think it's extremely unlikely of any minting, it cannot be formally cryptographically proved impossible
- The privacy from AI, govt, big tech narrative demands perfection…— Arthur Hayes (@CryptoHayes) June 5, 2026
همه با این هشدار موافق نیستند. کریگ سالم، مدیر ارشد حقوقی در Grayscale، استدلال کرد که بهرهبرداری قبل از وصله بعید بود. سالم گفت برای باور اینکه آسیبپذیری واقعاً مورد بهرهبرداری قرار گرفته است، کسی باید کد پایه را دقیقتر از تمام توسعهدهندگان اصلی با هم بررسی میکرد و سپس در طول یک بازار گاوی تاریخی در برابر وسوسه خالی کردن کل استخر مقاومت میکرد. او توییت کرد: "این به نظر من بعید میآید."
Shielded Labs یک ارتقاء شبکه را پیشنهاد کرده است که یک استخر محافظتشده جدید با حسابداری "گردش (turnstile accounting)" را به کار میگیرد، که به هر کسی اجازه میدهد تا یکپارچگی عرضه Zcash را تأیید کند.
اندروز گفت که ساختار این ارتقا، که مستلزم آن است که همه کوینها قبل از ورود به استخر جدید از حالت محافظتشده خارج شوند، به طور موثر خطر هرگونه بهرهبرداری قبلی را به میزان فعلی داراییهای محافظتشده محدود میکند. او گفت: "تأیید رسمی ارتقای جدید به طور قابل توجهی خطرات را بیشتر کاهش میدهد."
