Quantstamp opublikował techniczną analizę powłamaniową błędu w Zcash, w ramach której luka umożliwiająca fałszowanie monet tkwiła w puli prywatności Orchard przez około cztery lata, zanim została naprawiona w tym miesiącu. Firma zajmująca się bezpieczeństwem stwierdziła, że problem mógł pozwolić atakującemu na wybicie chronionych ZEC, które byłyby trudne, a nawet niemożliwe do wykrycia przy standardowym monitorowaniu transakcji.
Błąd ma znaczenie, ponieważ Orchard to główna pula prywatności Zcash – miejsce, w którym użytkownicy przenoszą monety do prywatnego salda ukrywającego szczegóły transakcji przed opinią publiczną. Jeśli można tam tworzyć monety bez zauważenia, wiarygodność systemu prywatności doznaje uszczerbku, nawet gdy problem został już załatany. Dla aktywów chroniących prywatność takich jak ZEC nie jest to drobna uwaga techniczna – chodzi o zaufanie do samego rejestru.
Analiza Quantstamp opisuje, w jaki sposób luka przeszła niezauważona mimo wielu audytów, co przypomina, że nawet wielokrotnie sprawdzany kod kryptowalut może kryć długo istniejące przypadki brzegowe. Firma nie podała, że błąd był aktywnie wykorzystywany na dużą skalę, ale sama ścieżka do niewykrywalnego tworzenia monet wystarcza, by stawiać pytania o wcześniejszą aktywność w puli prywatności oraz o ograniczenia wykrywania ex post w systemach prywatnych.
Deweloperzy Zcash załatali problem na początku tego miesiąca, jak wynika z materiałów źródłowych, jednak ujawnienie tej informacji i tak jest niewygodne dla posiadaczy. Wiadomości dotyczące bezpieczeństwa wokół monet prywatności mogą szybko obciążać nastroje, zwłaszcza gdy luka dotyczy podaży, a nie zwykłego błędu portfela czy interfejsu. Traderzy zwykle mniej przejmują się samą ścieżką kodu, a bardziej możliwością ukrytej inflacji, nawet jeśli to ryzyko zostało już wyeliminowane.
Kolejnymi kwestiami do obserwowania są: oficjalne działania następcze projektu, dalsze rozliczenie, czy chronione salda zostały dotknięte problemem, oraz to, czy giełdy lub depozytariusze zmienią sposób obsługi wpłat i wypłat ZEC. Jeśli społeczność uzna, że problem został opanowany, zanim doszło do szerokiego nadużycia, rynek może o tym zapomnieć. Jeśli pojawią się nowe dowody na wykorzystanie luki lub konieczność przeglądu większej części puli prywatności, ZEC może pozostać pod presją.
Czteroletni błąd fałszowania monet w puli prywatności Zcash naprawiony
Ukryta luka w systemie prywatności Zcash pozwalała na niezauważone tworzenie fałszywych monet, co podważa zaufanie użytkowników. Błąd został naprawiony w tym miesiącu, ale wciąż budzi obawy o niewykryte wcześniej fałszywe monety i bezpieczeństwo funkcji prywatności.