Zcashのオーチャード・プライバシープールで5月29日に重大な脆弱性が見つかり、それによって無制限に偽造ZECコインを鋳造できる可能性があることが、セキュリティ研究者のテイラー・ホーンビーによって発見された。この発表を受けて、偽コインがシールドされたプールに投入されたのかどうかを保有者が見極める中、ZECは24時間で40%超の価格下落となった。この欠陥はオーチャードが2022年5月に稼働して以来、未検知のまま存在しており、複数回のセキュリティ監査を通過していた。ホーンビーがザジーシュ創設者のズーコー・ウィルコックスに非公開でそれを開示したことで、6月2日に緊急パッチが投入された。
5月29日にテイラー・ホーンビーがオーチャード偽造の欠陥を発見
Zcashの創設者ズーコー・ウィルコックスは、テイラー・ホーンビーがオーチャードの偽造脆弱性を見つけ、5月29日に自分へ非公開で開示したことを確認した。この不具合は、ネットワークが真正として受け入れる一方で、詐欺はシールドされたプールの内部で見えないままにできる、検知不能な偽造ZECコインを作り出し得るものだった。ホーンビーは人工知能モデルの助けを得て完全なエクスプロイトを設計し、ローカルテストで無制限の偽造ZECを生成した。
開発者らは、この欠陥が2022年5月にオーチャードのプールが立ち上がって以来存在していたと明らかにした。バグは約4年間未検知のままで、見つけられず、しかも悪用もされなかった専門家による繰り返しの監査を生き延びていた。オーチャードは完全にシールドされた仕組みであるため、その欠陥が一度も悪用されなかったことを証明するための暗号学的手段は存在しない。秘密取引のためにZcashを魅力的にしているのと同じプライバシー上の保証が、パッチが6月2日に適用される前に鋳造された偽コインについてシールド供給を監査することを不可能にしている。
6月2日にZcashオープン・デベロップメント・ラボが緊急パッチを出荷
ホーンビーは、この問題をZcashオープン・デベロップメント・ラボへ報告し、同ラボは6月2日に修正を出荷する前に、ウォレット、取引所、ノード運用者にまたがる緊急対応を調整した。Zcashコミュニティフォーラムでの詳細な投稿で、チームは脆弱性を説明し、供給の検証を強化するための提案を含む次の手順を示した。
深刻さにもかかわらず、開発者らはShielded Labsとして、偽造が実際に起きたことについて「過度に心配していない」と述べ、落ち着くよう促した。理由は、このバグが、世界でも最も有能な暗号研究者の一部による数年にわたる精査をすり抜けたにもかかわらず、発見も悪用もされなかったことにあった。
脆弱性の開示後にZECの価格が40%下落
ZECは、開示から24時間でおよそ40%その価値を失った。サイクルの序盤でトークンは$600を超えて急騰し、一時は時価総額でモネロを逆転していたが、オーチャードの開示によってその利益の一部が吹き飛んだ。
保有者にとっての直近のコストは価格だった。ZECが年内でも最も好調な暗号資産の一つになるまで押し上げていた反発の重要な一部が解消されることで、価格が下がった。開示は、金融監視への世界的な反発の中でプライバシートークンが勢いを増していた局面で行われ、ZECは際立った実績を示す銘柄の一つだった。機関投資家の関心も高まっており、グレイスケールが規制下のZEC商品に向けて動いている。
よくある質問
テイラー・ホーンビーは5月29日にZcashでどんな脆弱性を見つけましたか?
テイラー・ホーンビーは5月29日に、Zcashのオーチャード・プライバシープールに偽造の脆弱性があることを発見し、それによって無制限に偽造ZECコインを鋳造できる可能性があることが分かった。このバグは、真正のコインとしてネットワークが受け入れる一方で、詐欺はシールドされたプールの内部で見えないままにできる検知不能な偽コインを作り出し得るものだった。ホーンビーは人工知能モデルの助けを得て完全なエクスプロイトを考案し、ローカルテストで無制限の偽造ZECを生成した。
Zcashの開発者はオーチャードのバグにどう対応しましたか?
テイラー・ホーンビーが問題を報告した後、Zcashオープン・デベロップメント・ラボはウォレット、取引所、ノード運用者にまたがる緊急対応を調整した。開発者らは6月2日に修正を出荷し、Zcashコミュニティフォーラムに詳細な説明を投稿した。チームは供給の検証を強化するための提案を示し、また「過度に心配していない」として、偽造が実際に起きたかどうかについては落ち着くよう促した。理由は、このバグが、有能な暗号研究者による数年にわたる精査を受けたにもかかわらず、悪用されることなく見つからなかったからだ。
なぜ脆弱性の開示後にZECの価格は40%以上下がったのですか?
ZECは、保有者が、パッチ適用前に偽コインがシールドされたプールに入っていたのかどうかを検討する中で、24時間で40%以上下落した。オーチャードは完全にシールドされたシステムであるため、そのバグが一度も悪用されなかったことを証明するための暗号学的な方法は存在しない。Zcashを機密取引にとって魅力的にしているのと同じプライバシー上の保証が、6月2日のパッチ適用前に鋳造された偽コインについてシールド供給を監査することを不可能にしている。
