Ein Sicherheitsexperte, Taylor Hornby, entdeckte am 29. Mai eine kritische Schwachstelle im Datenschutz-Pool Orchard von Zcash, die das Erzeugen unbegrenzt vieler gefälschter ZEC-Coins ermöglichen könnte. Die Veröffentlichung löste einen Kursrutsch von mehr als 40% bei ZEC innerhalb von 24 Stunden aus, als Halter einschätzten, ob gefälschte Coins in den abgeschirmten Pool gelangt waren. Der Fehler bestand unbemerkt, seit Orchard im Mai 2022 an den Start ging, überstand mehrere Sicherheitsprüfungen, bevor Hornby ihn privat dem Zcash-Gründer Zooko Wilcox offenbarte, was eine Notfall-Patch-Aktualisierung am 2. Juni auslöste.
Taylor Hornby entdeckt Orchard-Fälschungs-Lücke am 29. Mai
Zcash-Gründer Zooko Wilcox bestätigte, dass Taylor Hornby eine Fälschungs-Schwachstelle in Orchard aufgedeckt und sie ihm am 29. Mai privat mitgeteilt hatte. Der Bug könnte nicht nachweisbare gefälschte ZEC-Coins erzeugen, die das Netzwerk als echt akzeptieren würde, während der Betrug im abgeschirmten Pool unsichtbar bleibt. Hornby entwickelte mit Hilfe eines künstlichen Intelligenzmodells einen vollständigen Exploit und erzeugte in lokalen Tests eine unbegrenzte Anzahl gefälschter ZEC.
Entwickler gaben bekannt, dass der Fehler seit dem Start des Orchard-Pools im Mai 2022 vorhanden gewesen war. Der Bug blieb etwa vier Jahre lang unentdeckt und überstand wiederholte Audits durch Spezialisten, die ihn nie entdeckten. Da Orchard ein vollständig abgeschirmtes System ist, gibt es keine kryptografische Möglichkeit zu beweisen, dass der Bug nie missbraucht wurde. Die gleichen Datenschutzgarantien, die Zcash für vertrauliche Transaktionen attraktiv machen, machen es unmöglich, die abgeschirmte Versorgung nach gefälschten Coins zu prüfen, die vor dem Landen des Patches geprägt wurden.
Zcash Open Development Lab liefert Notfall-Patch am 2. Juni aus
Hornby meldete das Problem dem Zcash Open Development Lab, das eine Notfall-Reaktion über Wallets, Börsen und Node-Betreiber hinweg koordinierte, bevor am 2. Juni ein Fix ausgeliefert wurde. In einem detaillierten Beitrag im Zcash-Community-Forum führte das Team die Schwachstelle aus und skizzierte die nächsten Schritte, darunter Vorschläge zur Stärkung der Angebotsverifikation.
Trotz der Schwere riefen Entwickler zur Ruhe auf, Shielded Labs sagte, man sei nicht „übermäßig besorgt“, dass die Fälschung tatsächlich stattgefunden habe. Die Begründung: Der Bug habe jahrelange Überprüfungen durch einige der fähigsten Kryptografen der Welt überstanden, ohne gefunden oder ausgenutzt zu werden.
ZEC-Preis fällt 40% nach Veröffentlichung der Schwachstelle
ZEC verlor innerhalb von 24 Stunden nach der Bekanntgabe ungefähr 40% seines Werts. Der Token war im Verlauf zuvor auf mehr als $600 gestiegen, hatte in einem Moment sogar Monero nach Marktkapitalisierung überholt, bevor die Orchard-Offenlegung einen Teil dieser Gewinne zunichtemachte.
Für Halter waren die unmittelbaren Kosten der Preis, während ZEC einen bedeutenden Teil eines Rally-Absturzes abwickelte, der es zu einem der bestperformenden Krypto-Assets des Jahres gemacht hatte. Die Bekanntgabe kam, während Datenschutz-Token angesichts einer globalen Gegenbewegung gegen Finanz-Überwachung stark zulegten, wobei ZEC zu den herausragenden Performern zählte. Auch das institutionelle Interesse wuchs; Grayscale steuerte auf ein reguliertes ZEC-Produkt zu.
FAQ
Welche Schwachstelle entdeckte Taylor Hornby am 29. Mai in Zcash?
Taylor Hornby entdeckte am 29. Mai eine Fälschungs-Schwachstelle im Datenschutz-Pool Orchard von Zcash, die das Erzeugen unbegrenzt vieler gefälschter ZEC-Coins ermöglichen könnte. Der Bug konnte nicht nachweisbare Fake-Coins erzeugen, die das Netzwerk als echt akzeptiert, während der Betrug im abgeschirmten Pool unsichtbar bleibt. Hornby entwickelte mit Hilfe eines künstlichen Intelligenzmodells einen vollständigen Exploit und erzeugte in lokalen Tests unbegrenzt viele gefälschte ZEC.
Wie reagierten Zcash-Entwickler auf den Orchard-Bug?
Das Zcash Open Development Lab koordinierte nach der Meldung des Problems durch Taylor Hornby eine Notfall-Reaktion über Wallets, Börsen und Node-Betreiber hinweg. Entwickler brachten am 2. Juni einen Fix heraus und veröffentlichten eine detaillierte Erklärung im Zcash-Community-Forum. Das Team legte Vorschläge zur Stärkung der Angebotsverifikation dar und forderte zur Ruhe auf; man sei nicht „übermäßig besorgt“, dass die Fälschung tatsächlich stattgefunden habe, weil der Bug jahrelange Überprüfungen durch fähige Kryptografen überstanden habe, ohne ausgenutzt worden zu sein.
Warum fiel der ZEC-Kurs nach der Schwachstellen-Offenlegung um mehr als 40%?
ZEC fiel innerhalb von 24 Stunden um mehr als 40%, während Halter abwägten, ob gefälschte Coins bereits in den abgeschirmten Pool gelangt waren, bevor der Patch eingespielt wurde. Da Orchard ein vollständig abgeschirmtes System ist, gibt es keine kryptografische Möglichkeit zu beweisen, dass der Bug nie missbraucht wurde. Die gleichen Datenschutzgarantien, die Zcash für vertrauliche Transaktionen attraktiv machen, machen es unmöglich, die abgeschirmte Versorgung auf gefälschte Coins zu prüfen, die vor dem 2.-Juni-Patch geprägt wurden.
