Zcash (ZEC), mata uang kripto yang berfokus pada privasi, mengungkapkan kerentanan kritis pada 4 Juni yang berpotensi memungkinkan pembuatan koin palsu tanpa batas di area transaksi privasi Orchard Pool. Peneliti keamanan Taylor Hornby menemukan celah tersebut pada 29 Mei menggunakan model AI Opus 4.8 dari Anthropic saat mengaudit kode Orchard Circuit. Kerentanan ini berakar pada kondisi pembatas yang tidak memadai dalam proses verifikasi operasi kurva eliptik, sehingga validasi bisa lolos meski nilai input salah. Pendiri Zcash Zooko Wilcox mengumumkan melalui X bahwa patch darurat telah diterapkan di seluruh ekosistem, seraya merujuk laporan dari perusahaan pengembangan Shielded Labs. Cacat ini sudah ada sejak Orchard Pool diaktifkan pada Mei 2022, namun tetap tidak terdeteksi selama empat tahun meskipun telah ditinjau oleh kriptografer terkemuka.
Taylor Hornby Menemukan Kerentanan dengan Model AI Anthropic Opus 4.8
Taylor Hornby mengidentifikasi kerentanan tersebut pada 29 Mei saat menelaah Orchard Circuit menggunakan model AI terbaru Opus 4.8 dari Anthropic. Penemuan ini terjadi selama audit keamanan rutin infrastruktur transaksi privasi Zcash. Zooko Wilcox menyinggung temuan Hornby dalam posting X pada 4 Juni yang menyertakan laporan Shielded Labs yang merinci sifat teknis dari celah tersebut.
Kekurangan Verifikasi Kurva Eliptik Memungkinkan Pembuatan ZEC Tanpa Batas
Menurut laporan Shielded Labs, kerentanan muncul dari kondisi pembatas yang tidak memadai dalam proses verifikasi operasi kurva eliptik di Orchard Circuit. Kelemahan ini memungkinkan penyerang menggunakan nilai input yang salah namun tetap lolos dari pemeriksaan validasi, yang secara teoretis dapat memungkinkan penciptaan token ZEC palsu tanpa batas. Celah ini secara khusus memengaruhi Orchard Pool, area transaksi privasi Zcash yang dirancang untuk menyembunyikan detail transaksi dari pandangan publik.
Shielded Labs Menyelesaikan Penerapan Patch Darurat
Zooko Wilcox menyatakan langkah respons darurat telah memperbaiki kerentanan dan patch telah selesai di seluruh ekosistem. Kerentanan ini ada sejak Mei 2022, ketika Orchard Pool diaktifkan, hingga ditemukan pada 29 Mei. Shielded Labs mencatat bahwa secara kriptografis mustahil membuktikan apakah kerentanan tersebut benar-benar dieksploitasi selama periode empat tahun ini. Laporan tersebut menyebutkan bahwa meski tidak ada metode untuk mengonfirmasi apakah pemalsuan terjadi sebelum patch, kemungkinan eksploitasi sebelumnya dianggap rendah mengingat celah tersebut lolos dari deteksi oleh kriptografer kelas dunia selama bertahun-tahun dan baru ditemukan melalui riset keamanan berbasis AI yang canggih.
Shielded Labs Membahas Implementasi Turnstile Accounting
Shielded Labs sedang membahas pengenalan privacy pool baru dan penerapan Turnstile Accounting pada aset Orchard Pool yang sudah ada. Perusahaan menyatakan pendekatan ini akan memungkinkan siapa pun untuk memverifikasi integritas total supply Zcash dan memastikan apakah koin palsu ada di dalam Orchard Pool.
Harga ZEC Turun 17,04% ke $447 Setelah Pengungkapan
Per 5 Juni, ZEC diperdagangkan pada $447 (sekitar 687.200 won Korea) menurut data CoinGecko. Ini mencerminkan penurunan 17,04% dalam 24 jam setelah pengungkapan kerentanan.
FAQ
Bagaimana peneliti menemukan kerentanan Zcash?
Taylor Hornby menemukan kerentanan tersebut pada 29 Mei menggunakan model AI Opus 4.8 dari Anthropic saat mengaudit kode Orchard Circuit. Analisis berbantuan AI mengidentifikasi kondisi pembatas yang tidak memadai dalam proses verifikasi operasi kurva eliptik yang lolos dari deteksi kriptografer terkemuka selama empat tahun.
Bisakah siapa pun mengonfirmasi apakah kerentanan dieksploitasi sebelum patch?
Shielded Labs menyatakan bahwa secara kriptografis mustahil membuktikan apakah kerentanan tersebut benar-benar dieksploitasi selama periode empat tahun dari Mei 2022 hingga 29 Mei. Laporan tersebut menambahkan bahwa meski tidak ada metode verifikasi, kemungkinan eksploitasi sebelumnya dianggap rendah mengingat kompleksitas celah dan alat AI canggih yang diperlukan untuk penemuannya.
Langkah apa yang diterapkan Zcash untuk mencegah pemalsuan di masa depan?
Shielded Labs sedang membahas pengenalan privacy pool baru dan penerapan Turnstile Accounting pada aset Orchard Pool yang sudah ada. Perusahaan menyatakan pendekatan ini akan memungkinkan siapa pun untuk memverifikasi integritas total supply Zcash dan memastikan apakah koin palsu ada di dalam Orchard Pool.
