كشفت Zcash (ZEC)، وهي عملة رقمية تركز على الخصوصية، عن ثغرة حرجة في 4 يونيو، كان يمكن أن تسمح بإنشاء غير محدود للعملات المقلدة داخل منطقة معاملات الخصوصية في Orchard Pool. اكتشف الباحث الأمني تايلور هورنبي الثغرة في 29 مايو باستخدام نموذج الذكاء الاصطناعي Opus 4.8 من Anthropic أثناء تدقيق كود Orchard Circuit. نشأت الثغرة عن شروط تقييد غير كافية في عملية التحقق من عمليات المنحنى الإهليلجي، ما أتاح تمرير التحقق حتى مع قيم إدخال غير صحيحة. أعلن مؤسس Zcash Zooko Wilcox عبر X أن ترقيعات الطوارئ نُشرت عبر منظومة العمل، مستشهداً بتقرير من شركة التطوير Shielded Labs. كانت الثغرة موجودة منذ تفعيل Orchard Pool في مايو 2022، وظلت دون اكتشاف لمدة أربع سنوات رغم المراجعات التي أجراها خبراء تشفير بارزون.
Taylor Hornby يكتشف الثغرة باستخدام نموذج Anthropic Opus 4.8 للذكاء الاصطناعي
حدّد تايلور هورنبي الثغرة في 29 مايو أثناء فحص Orchard Circuit باستخدام أحدث نموذج Opus 4.8 من Anthropic. حدث الاكتشاف خلال تدقيق أمني روتيني للبنية التحتية لمعاملات الخصوصية في Zcash. أشار Zooko Wilcox إلى نتائج هورنبي في منشور على X بتاريخ 4 يونيو تضمن تقرير Shielded Labs الذي يشرح الطبيعة التقنية للثغرة.
خلل في التحقق من المنحنى الإهليلجي أتاح إنشاء ZEC غير محدود
ووفقاً لتقرير Shielded Labs، ظهرت الثغرة بسبب شروط تقييد غير كافية في عملية التحقق من عمليات المنحنى الإهليلجي داخل Orchard Circuit. سمحت هذه الضعف للمهاجمين باستخدام قيم إدخال غير صحيحة كانت مع ذلك ستجتاز فحوصات التحقق، ما يتيح نظرياً إنشاء عدد غير محدود من رموز ZEC المقلدة. وأثرت الثغرة تحديداً على Orchard Pool، وهي منطقة معاملات الخصوصية في Zcash المصممة لإخفاء تفاصيل المعاملات عن العرض العام.
Shielded Labs ينجز نشر ترقيعات الطوارئ
صرّح Zooko Wilcox بأن إجراءات الاستجابة العاجلة صححت الثغرة وأن الترقيعات اكتملت عبر كامل المنظومة. كانت الثغرة موجودة من مايو 2022، عندما تم تفعيل Orchard Pool، حتى اكتشافها في 29 مايو. وأشارت Shielded Labs إلى أن إثباتياً تشفيرياً ما إذا كانت الثغرة قد استُغلّت فعلاً خلال فترة الأربع سنوات هذه أمر مستحيل. ذكر التقرير أنه بينما لا توجد طريقة لتأكيد ما إذا حدث التزييف قبل الترقيع، فإن احتمالية الاستغلال المسبق تُعد منخفضة نظراً لأن الثغرة أفلتت من الاكتشاف لدى خبراء تشفير من طراز عالمي لسنوات، ولم تُكتشف إلا عبر أبحاث أمنية متقدمة قائمة على الذكاء الاصطناعي.
Shielded Labs يناقش تطبيق Turnstile Accounting
تبحث Shielded Labs إدخال تجمع خصوصية جديد وتطبيق Turnstile Accounting على الأصول الحالية في Orchard Pool. وقالت الشركة إن هذا النهج سيمكن أي شخص من التحقق من سلامة إجمالي المعروض في Zcash والتأكد مما إذا كانت العملات المقلدة موجودة داخل Orchard Pool.
تراجع سعر ZEC بنسبة 17.04% إلى 447 دولاراً بعد الإعلان
اعتباراً من 5 يونيو، كان ZEC يتداول عند 447 دولاراً (بما يعادل تقريباً 687,200 وون كوري) وفقاً لبيانات CoinGecko. ويمثل ذلك انخفاضاً بنسبة 17.04% خلال 24 ساعة عقب إعلان الكشف عن الثغرة.
الأسئلة الشائعة
كيف اكتشف الباحثون ثغرة Zcash؟
اكتشف تايلور هورنبي الثغرة في 29 مايو باستخدام نموذج الذكاء الاصطناعي Opus 4.8 من Anthropic أثناء تدقيق كود Orchard Circuit. حدد التحليل المعزز بالذكاء الاصطناعي شروط تقييد غير كافية في عملية التحقق من عمليات المنحنى الإهليلجي كانت قد أفلتت من الاكتشاف لدى خبراء تشفير بارزين لمدة أربع سنوات.
هل يمكن لأي شخص تأكيد ما إذا كانت الثغرة استُغلت قبل الترقيع؟
ذكرت Shielded Labs أن إثباتاً تشفيرياً لما إذا كانت الثغرة قد استُغلت فعلاً خلال فترة الأربع سنوات من مايو 2022 إلى 29 مايو أمر مستحيل. وأوضح التقرير أنه بينما لا توجد طريقة تحقق، فإن احتمال الاستغلال المسبق يُعد منخفضاً نظراً لتعقيد الثغرة والأدوات المتقدمة من الذكاء الاصطناعي المطلوبة لاكتشافها.
ما التدابير التي يطبقها Zcash لمنع التزييف في المستقبل؟
تبحث Shielded Labs إدخال تجمع خصوصية جديد وتطبيق Turnstile Accounting على الأصول الحالية في Orchard Pool. وقالت الشركة إن هذا النهج سيمكن أي شخص من التحقق من سلامة إجمالي المعروض في Zcash والتأكد مما إذا كانت العملات المقلدة موجودة داخل Orchard Pool.
