29 مايو 2026—اكتشف الباحث الأمني المستقل تايلور هورنبي ثغرة حرجة استمرت لما يقارب أربع سنوات في حوض التظليل الأساسي "Orchard" أثناء تدقيق بروتوكول Zcash. كانت هذه الثغرة متجذرة في دائرة إثبات المعرفة الصفرية التي تدعم معاملات الخصوصية في Zcash، حيث سمحت للمهاجمين بإنشاء انتقالات حالة غير صالحة وسك كميات غير محدودة من ZEC دون اكتشاف ذلك. عقب الكشف العلني، انهار سعر ZEC من أكثر من $600 إلى حوالي $250 خلال ساعات، مسجلاً انخفاضاً يومياً وصل إلى %43. وفي الأيام التالية بعد إصلاح الخلل، تعافى ZEC بقوة متجاوزاً $470. لم تكن هذه حادثة أمنية اعتيادية بتقلبات سعرية روتينية، بل كانت تحدياً جوهرياً لمنطق العملات الخصوصية ذاته.
تُظهر بيانات سوق Gate أنه حتى 9 يونيو 2026، تعافى ZEC ليتجاوز $470، مرتفعاً بأكثر من %80 من أدنى مستوى سجله يوم الكشف عن الثغرة.
ما نوع الخلل في دائرة إثبات المعرفة الصفرية الذي كان جوهر هذه الثغرة؟
كان هذا خللاً كلاسيكياً في متانة النظام (soundness) يقع في دائرة "Orchard Action"—وهي المكون الأساسي لإثبات المعرفة الصفرية الذي يتعامل مع المعاملات المظللة في Zcash. وتحديداً، نشأ الخلل من ضعف القيود المفروضة على المدخلات في حسابات المنحنى الإهليلجي، مما سمح بقبول قيم غير صالحة من قبل نظام التحقق واعتبارها صحيحة على مستوى إثبات المعرفة الصفرية. عملياً، كان هناك ثغرة في "قواعد النظام": إذ تمكن المهاجمون من استغلال هذا الخلل لإنشاء معاملات تنتهك قواعد الشبكة، ومع ذلك تجتاز التحقق التشفيري، ما يتيح سك عملات ZEC مزيفة بشكل غير قابل للاكتشاف داخل Orchard. وأكد الباحثون من خلال الاختبارات المحلية إمكانية الاستغلال—حيث كانت عملات ZEC المزيفة الناتجة عن الخلل غير قابلة للتمييز عن الرموز الشرعية على مستوى النظام. وقد وُجدت هذه الثغرة منذ إطلاق حوض Orchard في مايو 2022، لكنها بقيت غير مكتشفة لما يقارب أربع سنوات.
لماذا يؤدي التصميم الأساسي لحماية الخصوصية إلى تضخيم أثر الحوادث الأمنية؟
عند اكتشاف ثغرة في سلسلة عامة تقليدية، يمكن للأطراف الخارجية تتبع البيانات على السلسلة لمراجعة ما إذا تم استغلال الخلل. أما عملات الخصوصية فتعمل بمنطق معاكس. إذ صُمم حوض Orchard المظلل لإخفاء مبالغ المعاملات وهويات المشاركين—وهي ميزة خصوصية أساسية، لكنها في سياق الثغرات الأمنية تصبح أكبر عائق أمام التحقق الخارجي. وبما أن تفاصيل المعاملات المظللة مخفية بالكامل، فلا توجد وسيلة تشفيرية حتى بعد إصلاح الخلل لتأكيد ما إذا كان قد تم استغلاله خلال السنوات الأربع الماضية. هذا الغموض غير القابل للتحقق يحول ثغرة واحدة إلى تحدٍ هيكلي لنزاهة العرض. وكما يخشى السوق: إذا تم سك عملات ZEC مزيفة في الحوض المظلل، فقد تظل كامنة في النظام أو تكون قد تدفقت تدريجياً عبر المعاملات العادية—ولا توجد وسيلة لمعرفة ذلك.
لماذا فشل الإصلاح الطارئ للفريق في تبديد الشكوك الجوهرية لدى السوق؟
استجاب فريق Zcash بسرعة لافتة. فبعد اكتشاف الثغرة في 29 مايو، أكد المهندسون الأساسيون الخلل وبدؤوا المعالجة خلال ساعات. وفي 2 يونيو، تم تنفيذ تفرع طارئ (soft fork) أوقف مؤقتاً جميع معاملات Orchard لاحتواء المخاطر. وبحلول 3 يونيو، تم تفعيل ترقية الشبكة الصلبة NU6.2 بنجاح، مستعيداً وظائف Orchard مع الدائرة المصححة. استغرق كامل العملية—من الكشف إلى الإصلاح—خمسة أيام فقط. وأكد الإعلان الرسمي أنه حتى لحظة الترقية، لم توجد أدلة على استغلال الخلل، ولم يتم اكتشاف أي إنشاء غير مصرح به للقيمة، وأظهرت آلية "turnstile" أن الحد الأقصى للمعروض لم يُخترق قط. ومع ذلك، لم تكن مخاوف السوق الجوهرية تتعلق بنجاح الإصلاح، بل بسؤال لا تستطيع التشفيريات الإجابة عليه: الثغرة رُقعت، لذا تم القضاء على المخاطر المستقبلية، لكن لا توجد وسيلة حالياً لإثبات عدم استغلالها خلال السنوات الأربع الماضية بشكل قاطع.
ماذا يعني دور الذكاء الاصطناعي في اكتشاف الثغرة بالنسبة للصناعة؟
عملية اكتشاف هذا الخلل بحد ذاتها تشكل محطة فارقة في تدقيق أمان العملات الرقمية. فقد تمكن إطار العمل "zcash-full-stack-auditor" الخاص بهورنبي، والمدعوم بأحدث نموذج Claude Opus 4.8 من Anthropic، من تحديد الثغرة بشكل مستقل في اليوم التالي لإطلاق النموذج. وأكد هورنبي أن الاستنتاج الجبري المعقد—أي كيفية عكس هندسة القيم غير المقيدة من المعلمات المستهدفة—تم بالكامل بواسطة الذكاء الاصطناعي دون أي تلميحات رياضية منه. أسهم هذا التورط العميق للذكاء الاصطناعي في الكشف السريع عن ثغرة يصعب للغاية على المدققين البشريين اكتشافها. لكن هذا يفتح أيضاً حدود مخاطرة جديدة: فمع تطور اكتشاف الثغرات من قبل "القبعات البيضاء" بمساعدة الذكاء الاصطناعي، تتسارع أيضاً قدرات الاستغلال الهجومي "للثغرات الصفرية" من قبل "القبعات السوداء". وعندما يبدأ المهاجمون باستخدام نماذج ذكاء اصطناعي مشابهة أو أكثر تقدماً، هل يمكن لعمليات التدقيق الأمني الحالية مواكبة هذا التهديد المتنامي؟ هذا أصبح واقعاً ضاغطاً أمام صناعة العملات الرقمية بأسرها.
هل تعكس التقلبات الحادة في سعر ZEC منطقاً هيكلياً جديداً للصناعة؟
اتبع سعر ZEC خلال هذا الحدث نمط "المبالغة في رد الفعل—تصحيح التوقعات". في البداية، قام السوق بتسعير أسوأ سيناريو—بافتراض استغلال الخلل وعدم إمكانية إثبات ذلك. فهبط ZEC بنسبة %43 ليصل إلى حوالي $250. في الأيام التالية، تم استيعاب حقيقتين أساسيتين: أولاً، أكدت آلية turnstile سلامة الحد الأقصى للمعروض؛ ثانياً، أعلن الفريق عن ترقية شبكة Ironwood في يوليو، والتي ستقدم التحقق الشكلي وآلية حوض مظلل جديدة. سرعان ما تعافى ZEC بشكل حاد متجاوزاً $470 بحلول 9 يونيو. يبرز هذا الاتجاه تحولاً هيكلياً: لم يعد تسعير عملات الخصوصية يعتمد فقط على "مدى قوة ميزات الخصوصية"، بل على "مدى متانة التوازن بين حماية الخصوصية وإمكانية التحقق". تقل قدرة السوق على تحمل الأحكام الاحتمالية، بينما تزداد المطالبة بإثباتات قابلة للتحقق.
كيف سيعيد مفارقة التدقيق رسم تطور عملات الخصوصية على المدى الطويل؟
تواجه عملات الخصوصية تناقضاً هيكلياً بين عرض القيمة الأساسي والحاجة إلى تدقيق مستقل من طرف ثالث. إذ تسمح السلاسل العامة الشفافة بالتحقق المباشر من نزاهة العرض عبر دفاتر مفتوحة، بينما لا يمكن تدقيق الأحواض المظللة—بما تخفيه من عناوين ومبالغ—بنفس الدرجة. بلغ هذا التناقض ذروته في هذه الحادثة: يمكن لـZcash إثبات "إصلاح الخلل" بشكل قاطع، لكنه لا يستطيع إثبات "عدم استغلال الخلل في الماضي" تشفيرياً. وكلما زادت قوة الخصوصية، ازدادت صعوبة التحقق—وهذا التوازن لا يمكن حله برقعة واحدة أو ترقية، بل هو واقع طويل الأمد يجب على شبكات الخصوصية معالجته على مستوى تصميم البروتوكول. بدأت Shielded Labs بالفعل عملية التحقق الشكلي لدائرة Orchard واقترحت ترقيات تشمل نشر حوض مظلل جديد وإدخال آلية محاسبة turnstile. وقد يكون المسار الأكثر جوهرية هو تصميم البروتوكولات مع مراعاة قابلية التدقيق، بحيث لا تعود حماية الخصوصية ونزاهة العرض متعارضتين.
الخلاصة
الدروس المستفادة من ثغرة Zcash Orchard تتجاوز بكثير النطاق الأمني لمشروع واحد. فقد بدأت بخلل في قيود المدخلات على مستوى دائرة إثبات المعرفة الصفرية، لكنها تطرح في النهاية سؤالاً عالمياً لعملات الخصوصية: عندما تخلق آليات الخصوصية نفسها حواجز أمام التدقيق الخارجي، يصبح الثقة أمراً لا يتعلق فقط بـ"هل الشيفرة آمنة"، بل بسؤال فلسفي: "هل يمكن التحقق من الثقة نفسها بطريقة لا تتطلب الثقة؟"
فنياً، استغرقت عملية الاكتشاف والتأكيد والمعالجة خمسة أيام فقط—ما يعكس كفاءة الفريق وتنسيقه. أما هيكلياً، فحتى بعد الإصلاح، يبقى سؤال "هل تم استغلال الخلل خلال السنوات الأربع الماضية" بلا جواب على المستوى التشفيري. هذه الفجوة تظل عاملاً دائماً لتخفيض تقييم السوق، وعقبة أمام الامتثال وإدارة المخاطر يجب على عملات الخصوصية تجاوزها لتحقيق قبول مؤسسي أوسع.
وفي الوقت ذاته، يوجه المثال الواقعي لاكتشاف الذكاء الاصطناعي لخلل خفي استمر أربع سنوات إشارة واضحة لصناعة تدقيق أمان العملات الرقمية: إن وتيرة وعمق عمليات التدقيق اليدوية يُعاد تعريفها اليوم بقدرات الذكاء الاصطناعي، سواء للمدافعين أو المهاجمين. فكيف سيتم توظيف الذكاء الاصطناعي في أمان العملات الرقمية سيحدد بشكل مباشر معيار الأمان الأساسي لكل بروتوكول مستقبلاً.
الأسئلة الشائعة
س: هل تم إصلاح ثغرة Orchard؟ وهل عادت وظائف الخصوصية في ZEC لطبيعتها؟
ج: نعم. أكمل فريق Zcash ترقية الشبكة الصلبة NU6.2 في 3 يونيو 2026، ما أدى إلى إصلاح الخلل واستعادة وظائف الحوض المظلل Orchard بالكامل. وأكدت مؤسسة Zcash عدم فقدان أي أموال أو اكتشاف أي إنشاء غير مصرح به للقيمة.
س: لماذا يواصل السوق التشكيك في ZEC حتى بعد الإصلاح؟ وهل هناك حل؟
ج: الشاغل الأساسي للسوق ليس "هل تم إصلاح الخلل"، بل "هل تم استغلاله خلال ما يقارب أربع سنوات قبل الإصلاح". ونظراً لميزات الخصوصية في الحوض المظلل، لا يمكن إثبات ذلك تشفيرياً. وقد اقترحت Shielded Labs ترقيات تشمل نشر حوض مظلل جديد وآلية محاسبة turnstile، لكن يتطلب الأمر مزيداً من الموافقة من حوكمة المجتمع.
س: هل تؤثر هذه الثغرة على Monero أو عملات الخصوصية الأخرى؟
ج: كان هذا الخلل عيباً برمجياً محدداً في دائرة Orchard الخاصة بـZcash ولا ينطبق مباشرة على Monero أو عملات الخصوصية الأخرى. ومع ذلك، تكشف الحادثة عن إشكالية هيكلية مشتركة بين عملات الخصوصية: فكلما زادت صعوبة تدقيق تفاصيل المعاملات، زادت صعوبة التحقق المستقل من نزاهة العرض من قبل الأطراف الخارجية. لذا، تشكل هذه الحادثة تحذيراً لجميع مشاريع الخصوصية في القطاع.
