Разработчики Zcash изучают возможность внедрения нового защищённого пула после экстренного обновления, которое устранило уязвимость в Orchard — самой новой системе защищённых транзакций сети. Shielded Labs, швейцарская организация поддержки Zcash, сообщила в пятничном обновлении по безопасности, что уязвимость могла позволить создавать неограниченное количество поддельных ZEC внутри пула Orchard, что вызвало обсуждение сетевого апгрейда с механизмом turnstile для учёта монет, выходящих из Orchard. Предлагаемое обновление нацелено на восстановление доверия к проверке предложения после бага: при этом нет криптографического доказательства того, была ли уязвимость ранее использована до её исправления, хотя Shielded Labs заявила, что ранее использование маловероятно.
ZEC упал на 50% после раскрытия уязвимости
ZEC снизился примерно на 50% в пятницу после того, как уязвимость была публично раскрыта: по данным CoinGecko, токен упал с дневного максимума $550,30 до минимума $264,80. Затем токен восстановился до $308,07, но всё равно оставался далеко ниже своего максимума в пятницу.
Джастин Бонс, основатель и главный инвестиционный директор CyberCapital, сказал, что рынок отреагировал чрезмерно, потому что «хорошие ребята поймали это первыми». Сооснователь Gemini Кэмерон Уинклвосс защищал реакцию, заявив, что обнаружение отражает инвестиции Zcash в исследователей безопасности, а не повод для паники. Он утверждал, что баги неизбежны в сетях уровня 1, и ключевой вопрос — смогут ли команды найти и исправить их до того, как это сделают атакующие.
Shielded Labs предлагает turnstile-учёт для монет Orchard
Shielded Labs сообщила в пятничном обновлении по безопасности, что изучает предложенный сетевой апгрейд, который развернёт новый защищённый пул и применит turnstile-учёт к монетам, выходящим из Orchard. Предложение не является финальным и остаётся предметом дальнейших разъяснений и общественной проверки: планируется отдельный пост на следующей неделе, чтобы объяснить, как будет работать обновление и какие компромиссы оно может создать.
Главная проблема — подтверждение предложения (supply assurance). Shielded Labs заявила, что нет криптографического способа доказать, было ли использование бага до его исправления. Команда считает, что предыдущее использование маловероятно, но именно невозможность доказать неприменение делает предлагаемый механизм turnstile важным. Turnstile-учёт создаст границу верификации для монет, которые перемещаются из затронутого пула в новый защищённый пул или в другие части сети.
Разработчики обсуждают формальную верификацию как долгосрочное решение
Разработчик Zcash и исследователь криптографии Сиан Боув сказал, что долгосрочный ответ — сделать защищённые протоколы и их реализации формально верифицируемыми. Основатель Zcash Open Development Lab Джош Свихарт заявил, что уязвимость Orchard была проблемой в написанных вручную правилах схемы, а не в лежащей в основе криптографии.
Вэй Дай, партнёр по исследованиям в блокчейн-венчурной компании 1kx, сказал, что баг в схеме Orchard выглядел «очевидным в ретроспективе», но был пропущен проектировщиками протокола, криптографами и аудиторами. Он добавил, что расширение покрытия формальной верификации — «вероятно, единственное долгосрочное решение».
Обновление NU7 нацелено на конец июля
Джош Свихарт отдельно заявил, что второй пул Orchard теоретически может быть задействован для обновления NU7 Zcash в конце июля. Он сказал, что не занимает фиксированную позицию по вопросу, должна ли община строить второй пул. Shielded Labs сообщила, что планируется последующий пост на следующей неделе, чтобы объяснить, как будет работать апгрейд.
FAQ
Какую уязвимость Zcash исправил в Orchard?
Shielded Labs заявила, что уязвимость могла позволить злоумышленнику создать неограниченное количество поддельных ZEC внутри пула Orchard. Ошибка была устранена через экстренное обновление Zcash.
На сколько упал ZEC после раскрытия уязвимости?
ZEC упал примерно на 50% в пятницу: по данным CoinGecko, он снизился с дневного максимума $550,30 до минимума $264,80. Затем он восстановился до $308,07, но всё равно оставался далеко ниже своего максимума в пятницу.
Когда запланировано обновление NU7 в Zcash?
Основатель Zcash Open Development Lab Джош Свихарт сказал, что обновление NU7 нацелено на конец июля; в принципе оно может включать второй пул Orchard, если сообщество поддержит это предложение.
