Pendiri Zcash, Zooko Wilcox, pada 5 Juni mengungkap di X bahwa peneliti keamanan Taylor Hornby pada 29 Mei menemukan celah pemalsuan serius di pool Zcash Orchard, yang memungkinkan pemalsuan ZEC dalam jumlah tak terbatas, dan perbaikannya selesai pada 2 Juni. Karena fitur privasi Orchard, tidak mungkin memastikan secara kriptografis apakah celah tersebut sudah dimanfaatkan sebelum diperbaiki.
Rincian Teknis Celah: Opus 4.8 Menemukan Kelemahan Batas Perkalian Kurva Eliptik
Shielded Labs pada April 2026 merekrut Taylor Hornby untuk melakukan riset keamanan berkelanjutan terhadap protokol Zcash. Tak lama setelah model Anthropic Opus 4.8 dirilis, Hornby pada 28 Mei 2026 menggunakan model tersebut untuk pengujian presisi pada sirkuit Orchard, dan menemukan celah pada 29 Mei.
Penyebab teknis celah: Di dalam sirkuit Orchard terdapat sebuah komponen yang kekurangan batasan (constraint), sehingga memungkinkan penyisipan nilai yang keliru secara sewenang-wenang dalam operasi perkalian kurva eliptik, sementara verifikasi perkalian tetap lolos. Hornby, dengan bantuan Opus 4.8, menulis program pemanfaatan celah yang lengkap dan berhasil menghasilkan pemalsuan ZEC dalam jumlah tak terbatas yang tidak dapat dideteksi dalam lingkungan regtest lokal. Zooko mengonfirmasi bahwa jika alat yang sama dijalankan di mainnet Zcash, maka dapat dihasilkan pemalsuan ZEC dalam jumlah tak terbatas yang tidak dapat dideteksi di dompet mainnet.
Yang Diketahui dan yang Tidak Diketahui: Batasan Dasar Kriptografi
Berdasarkan pengungkapan publik Zooko, ada ketidakpastian yang tidak dapat diatasi secara kriptografis mengenai apakah celah tersebut sudah dimanfaatkan: atribut privasi Orchard berarti tidak dapat dipastikan secara kriptografis apakah sudah terjadi transaksi pemalsuan di mainnet sebelum perbaikan dilakukan. Penilaian Zooko tentang probabilitas rendah didasarkan pada tiga fakta konfirmasi: celah tersebut selama bertahun-tahun lolos dari pengawasan para pakar kriptografi kelas dunia; Hornby menggunakan perangkat AI terbaru yang hanya dapat dipakai oleh peneliti keamanan white-hat, ditambah kerangka kerja AI khusus yang kompleks serta sistem prompt; serta ZODL melakukan perbaikan dengan cepat setelah celah ditemukan, sehingga sangat memperpendek jendela peluang serangan.
Langkah Lanjutan: Usulan Upgrade Jaringan dan Mekanisme Verifikasi Pasokan
Shielded Labs sedang bekerja sama dengan pengembang Zcash lainnya untuk mengeksplorasi skema upgrade jaringan, dengan desain inti berupa penerapan pool baru yang diproteksi, serta pemaksaan mekanisme “turnstile accounting” untuk seluruh token yang ada di pool Orchard. Tujuannya adalah agar siapa pun dapat memverifikasi integritas pasokan Zcash, dan membuktikan bahwa tidak ada ZEC palsu di pool Orchard. Rincian usulan lengkap diperkirakan rilis minggu depan. Bersamaan dengan itu, Shielded Labs mengumumkan peluncuran proyek verifikasi formal untuk sirkuit Orchard, dengan target menulis pembuktian matematis untuk memastikan bahwa tidak ada lagi kesalahan yang belum ditemukan, dan sedang merekrut kepala keamanan serta kriptografer.
FAQ
Bagaimana mekanisme “turnstile accounting” memverifikasi integritas pasokan ZEC?
Berdasarkan pengungkapan Zooko, Shielded Labs berencana memverifikasi melalui penerapan pool baru yang diproteksi, serta mewajibkan semua token di pool Orchard untuk menjalani proses turnstile accounting tersebut, sehingga pengamat eksternal dapat memverifikasi apakah jumlah ZEC yang beredar sesuai dengan yang diharapkan. Rincian rancangan teknis dan berbagai pertimbangan terkait akan dijelaskan secara mendalam dalam artikel lanjutan minggu depan; usulan masih perlu melewati proses tata kelola standar Zcash agar dapat dijalankan secara resmi.
Peran apa yang dimainkan Anthropic Opus 4.8 dalam penemuan celah ini?
Tak lama setelah rilis Anthropic Opus 4.8, Hornby akan menggunakannya untuk pengujian presisi pada sirkuit Orchard, serta memakai model tersebut untuk membantu menulis program pemanfaatan celah yang lengkap. Zooko menyoroti bahwa Hornby menggunakan “perangkat AI terbaru yang hanya dapat dipakai oleh peneliti keamanan white-hat” dan seperangkat kerangka kerja AI yang canggih, dan pendekatan inilah yang menjadi faktor kunci karena celah ditemukan sebelum penyerang.
Apa dampak praktis celah ini bagi pemegang ZEC saat ini?
Berdasarkan pengungkapan Zooko, perbaikan celah selesai pada 2 Juni 2026, sehingga aset pemegang ZEC yang ada tidak terdampak langsung pada lapisan kriptografi. Ketidakpastian utamanya adalah: apakah sebelum perbaikan terdapat peredaran pemalsuan ZEC yang belum terdeteksi; masalah ini saat ini tidak bisa dikonfirmasi melalui cara kriptografis, dan perlu menunggu skema upgrade jaringan dari Shielded Labs diterapkan agar dapat diverifikasi melalui mekanisme turnstile accounting.
