Um pesquisador de segurança, Taylor Hornby, descobriu em 29 de maio uma vulnerabilidade crítica no pool de privacidade Orchard da Zcash que poderia cunhar quantidades ilimitadas de moedas falsas (ZEC) sem detecção. A divulgação provocou uma queda de mais de 40% no preço do ZEC em 24 horas, enquanto os detentores avaliavam se moedas falsas haviam entrado no pool protegido. A falha existia sem ser notada desde que o Orchard foi lançado em maio de 2022, resistindo a múltiplas auditorias de segurança antes de Hornby divulgá-la em particular ao fundador da Zcash, Zooko Wilcox, o que levou a um patch de emergência implantado em 2 de junho.
Taylor Hornby Descobre Falha de Contrafação no Orchard em 29 de maio
O fundador da Zcash, Zooko Wilcox, confirmou que Taylor Hornby descobriu uma vulnerabilidade de contrafação no Orchard e a divulgou a ele de forma privada em 29 de maio. O bug poderia criar moedas falsas de ZEC indetectáveis que a rede aceitaria como genuínas, enquanto a fraude permanecia invisível dentro do pool protegido. Hornby montou um exploit completo com a ajuda de um modelo de inteligência artificial e gerou um número ilimitado de ZEC falsificados em testes locais.
Desenvolvedores revelaram que a falha estava presente desde que o pool Orchard foi lançado em maio de 2022. O bug ficou sem ser detectado por cerca de quatro anos e resistiu a auditorias repetidas de especialistas que nunca o identificaram. Como o Orchard é um sistema totalmente protegido, não há forma criptográfica de provar que o bug nunca foi abusado. As mesmas garantias de privacidade que tornam a Zcash atraente para transações confidenciais tornam impossível auditar o fornecimento protegido quanto a moedas falsas cunhadas antes de o patch ser aplicado.
Zcash Open Development Lab Envia Patch de Emergência em 2 de junho
Hornby reportou o problema ao Zcash Open Development Lab, que coordenou uma resposta de emergência entre carteiras, exchanges e operadores de nós antes de enviar a correção em 2 de junho. Em um post detalhado no fórum da comunidade da Zcash, a equipe detalhou a vulnerabilidade e traçou os próximos passos, incluindo propostas para fortalecer a verificação de fornecimento.
Apesar da gravidade, desenvolvedores pediram calma com a Shielded Labs, dizendo que não estava “superpreocupada” de que a contrafação tivesse, de fato, ocorrido. A lógica era que o bug sobreviveu por anos a revisões de alguns dos criptógrafos mais capazes do mundo, sem ser encontrado ou explorado.
Preço do ZEC Cai 40% Após Divulgação da Vulnerabilidade
O ZEC perdeu cerca de 40% do seu valor nas 24 horas seguintes à divulgação. O token havia disparado acima de US$ 600 no início do ciclo, em um momento superando o monero em valor de mercado, antes de a divulgação do Orchard eliminar parte desses ganhos.
Para os detentores, o custo imediato foi o preço, já que o ZEC desfez uma fatia relevante de uma alta que tinha colocado o ativo cripto entre os que mais performaram no ano. A divulgação ocorreu enquanto tokens de privacidade vinham em alta, em meio a uma reação global à vigilância financeira, com o ZEC entre os destaques. O interesse institucional também vinha crescendo, com a Grayscale se aproximando de um produto regulado de ZEC.
FAQ
Que vulnerabilidade Taylor Hornby descobriu na Zcash em 29 de maio?
Taylor Hornby descobriu em 29 de maio uma vulnerabilidade de contrafação no pool de privacidade Orchard da Zcash que poderia cunhar quantidades ilimitadas de moedas falsas de ZEC. O bug poderia criar moedas falsas indetectáveis que a rede aceitaria como genuínas, enquanto a fraude permanecia invisível dentro do pool protegido. Hornby montou um exploit completo com a ajuda de um modelo de inteligência artificial e gerou um número ilimitado de ZEC falsificados em testes locais.
Como os desenvolvedores da Zcash reagiram ao bug do Orchard?
O Zcash Open Development Lab coordenou uma resposta de emergência entre carteiras, exchanges e operadores de nós depois que Taylor Hornby reportou o problema. Os desenvolvedores enviaram uma correção em 2 de junho e publicaram uma explicação detalhada no fórum da comunidade da Zcash. A equipe detalhou propostas para fortalecer a verificação de fornecimento e pediu calma, afirmando que não estava “superpreocupada” de que a contrafação tivesse, de fato, ocorrido, porque o bug sobreviveu por anos a revisões de criptógrafos capazes sem ser explorado.
Por que o preço do ZEC caiu mais de 40% após a divulgação da vulnerabilidade?
O ZEC caiu mais de 40% ao longo de 24 horas, enquanto os detentores avaliavam se moedas falsas tinham entrado no pool protegido antes do patch. Como o Orchard é um sistema totalmente protegido, não há como provar criptograficamente que o bug nunca foi abusado. As mesmas garantias de privacidade que tornam a Zcash atraente para transações confidenciais tornam impossível auditar o fornecimento protegido quanto a moedas falsas cunhadas antes de o patch de 2 de junho ser aplicado.
