Um investigador de segurança, Taylor Hornby, descobriu uma vulnerabilidade crítica na pool de privacidade Orchard da Zcash em 29 de maio, que poderia cunhar um número ilimitado de moedas ZEC contrafeitas. A divulgação provocou uma queda de mais de 40% no preço da ZEC ao longo de 24 horas, à medida que os detentores avaliaram se moedas falsas teriam entrado na pool protegida. A falha existia sem detetar desde o lançamento do Orchard em maio de 2022, sobrevivendo a várias auditorias de segurança antes de Hornby a divulgar em privado ao fundador da Zcash, Zooko Wilcox, o que levou a uma correção de emergência implementada a 2 de junho.
Taylor Hornby Descobre Falha de Contrafação no Orchard a 29 de maio
O fundador da Zcash, Zooko Wilcox, confirmou que Taylor Hornby descobriu uma vulnerabilidade de contrafação no Orchard e que lha comunicou em privado a ele em 29 de maio. O bug podia criar moedas ZEC contrafeitas indetetáveis que a rede aceitaria como genuínas, enquanto a fraude permanecia invisível dentro da pool protegida. Hornby criou um exploit completo com a ajuda de um modelo de inteligência artificial e gerou um número ilimitado de ZEC contrafeitas em testes locais.
Os programadores revelaram que a falha estava presente desde que a pool Orchard foi lançada em maio de 2022. O bug ficou sem deteção durante cerca de quatro anos e sobreviveu a auditorias repetidas de especialistas que nunca o identificaram. Como o Orchard é um sistema totalmente protegido, não existe uma forma criptográfica de provar que o bug nunca foi abusado. As mesmas garantias de privacidade que tornam a Zcash atrativa para transações confidenciais tornam impossível auditar o fornecimento protegido para moedas falsas cunhadas antes de a correção ser aplicada.
Zcash Open Development Lab Envia Correção de Emergência a 2 de junho
Hornby reportou o problema ao Zcash Open Development Lab, que coordenou uma resposta de emergência entre carteiras, bolsas e operadores de nós antes de enviar uma correção a 2 de junho. Num post detalhado no fórum da comunidade da Zcash, a equipa explicou a vulnerabilidade e traçou os próximos passos, incluindo propostas para reforçar a verificação do fornecimento.
Apesar da gravidade, os programadores pediram calma, com a Shielded Labs a dizer que não estava “demasiado preocupada” com o facto de a contrafação ter de facto ocorrido. A lógica era que o bug tinha sobrevivido anos de revisão por alguns dos criptógrafos mais capazes do mundo, sem ser encontrado ou explorado.
Queda de 40% no Preço da ZEC Após Divulgação da Vulnerabilidade
A ZEC perdeu cerca de 40% do seu valor no espaço de 24 horas após a divulgação. O token tinha disparado acima de $600 mais cedo no ciclo, chegando a ultrapassar o monero em capitalização bolsista, antes de a divulgação do Orchard apagar parte desses ganhos.
Para os detentores, o custo imediato foi o preço, já que a ZEC desfez uma fatia significativa de uma recuperação que tinha feito desta uma das criptomoedas com melhor desempenho do ano. A divulgação aconteceu num momento em que os tokens de privacidade estavam a registar forte valorização, impulsionados por uma reação global à vigilância financeira, com a ZEC entre os desempenhos de destaque. O interesse institucional também vinha a crescer, com a Grayscale a aproximar-se de um produto ZEC regulado.
FAQ
Que vulnerabilidade é que Taylor Hornby descobriu na Zcash a 29 de maio?
Taylor Hornby descobriu uma vulnerabilidade de contrafação na pool de privacidade Orchard da Zcash em 29 de maio que podia cunhar um número ilimitado de moedas ZEC contrafeitas. O bug podia criar moedas falsas indetetáveis que a rede aceitaria como genuínas, enquanto a fraude permanecia invisível dentro da pool protegida. Hornby criou um exploit completo com a ajuda de um modelo de inteligência artificial e gerou um número ilimitado de ZEC contrafeitas em testes locais.
Como é que os programadores da Zcash responderam ao bug do Orchard?
O Zcash Open Development Lab coordenou uma resposta de emergência entre carteiras, bolsas e operadores de nós depois de Taylor Hornby ter reportado o problema. Os programadores lançaram uma correção a 2 de junho e publicaram uma explicação detalhada no fórum da comunidade da Zcash. A equipa apresentou propostas para reforçar a verificação do fornecimento e apelou à calma, afirmando que não estavam “demasiado preocupados” com o facto de a contrafação ter de facto ocorrido, porque o bug sobreviveu anos de revisão por criptógrafos capazes sem ter sido explorado.
Porque é que o preço da ZEC caiu mais de 40% após a divulgação da vulnerabilidade?
A ZEC caiu mais de 40% ao longo de 24 horas, à medida que os detentores ponderavam se moedas falsas tinham entrado na pool protegida antes da correção. Como o Orchard é um sistema totalmente protegido, não existe uma forma criptográfica de provar que o bug nunca foi abusado. As mesmas garantias de privacidade que tornam a Zcash atrativa para transações confidenciais tornam impossível auditar o fornecimento protegido para moedas contrafeitas cunhadas antes de a correção do dia 2 de junho ter sido aplicada.
