سقوط ۴۵ درصدی زی کش به خاطر باگی که به کمک کلود کشف شد!

ارزش بازار زی کش در ۲۴ ساعت گذشته و پس از افشای یک آسیب‌پذیری مهم، تقریباً ۳ میلیارد دلار کاهش یافت.

خلاصه خبر

• قیمت زی کش بیشتر از ۴۵ درصد سقوط کرد.
• این اولین باری نیست که ZEC یک آسیب‌پذیری دارد.

به گزارش کوین تلگراف، قیمت زی کش روز پنجشنبه پس از افشای جزئیات بیشتر در مورد یک آسیب‌پذیری بحرانی جعل در استخر Orchard زی کش که از لحاظ نظری می‌توانست به یک عامل مخرب اجازه دهد تا مقدار نامحدودی ZEC ایجاد کند، کاهش یافت.

بر اساس پستی در X، مهندس امنیت تیلور هورنبی (Taylor Hornby) که توسط Shielded Labs استخدام شده بود، این باگ را در اواخر مه (اردیبهشت) کشف کرد و آن را به آزمایشگاه توسعه باز زی کش (ZODL) اعلام کرد. ZODL نیز با یک فورک سخت که در ژوئن (خرداد) فعال شد، یک واکنش اضطراری برای رفع این آسیب‌پذیری به کار گرفت.

با این حال، نگرانی‌های جدیدی در مورد این آسیب‌پذیری مطرح شده است. این موضوع باعث شد تا قیمت زی کش در ۲۴ ساعت گذشته بیش از ۴۵ درصد کاهش یافته و در زمان نگارش این مطلب به ۳۳۰ دلار برسد. ارزش بازار آن نیز بیش از ۳.۵ میلیارد دلار کاهش یافته است.

با این حال آرتور هیز (Arthur Hayes)، یکی از بنیان‌گذاران BitMEX، روز جمعه گفت که بعید است ZEC به این روش به طور غیرقانونی ایجاد شده باشد. البته او اذعان داشت که «نمی‌توان به طور رسمی از نظر رمزنگاری ثابت کرد که غیرممکن است.»او گفت:

متأسفانه، به دلیل اکسپلویت استخر Orchard، مجبور شدم تمام ZECهای خود را بفروشم. مثلث مقدس از بین رفت.

منظور او از این مثلث زی کش و دو توکن دیگری است که این هفته فروخت، یعنی هایپرلیکوئید (HYPE) و نیر پروتکل (NEAR).

کلود در کشف باگ کمک می‌کند

تیلور از Claude Opus 4.8 که اخیرا منتشر شده بود، برای کمک به بررسی بسیار هدفمند مدار Orchard (بخش رمزنگاری زیربنای استخر محافظت‌شده Orchard زی کش) استفاده کرد.

این باگ بحرانی امکان وارد کردن ورودی‌های نادرست به بررسی ضرب منحنی بیضوی را فراهم می‌کرد، به این معنی که محاسباتی که قرار است تراکنش‌ها را به صورت رمزنگاری تأیید کند، می‌توانست فریب بخورد. تیلور یک اکسپلویت عملیاتی ساخت و آزمایش کرد که ZEC جعلی نامحدودی تولید می‌کرد. محققان امنیتی روز جمعه گفتند:

اگر او همین ابزار را روی شبکه اصلی زی کش اجرا می‌کرد، ZEC جعلی نامحدود و غیرقابل شناسایی در کیف پول زی کش شبکه اصلی او تولید می‌شد.

نگرانی اصلی این است که به دلیل ویژگی‌های حریم خصوصی Orchard، هیچ راه رمزنگاری برای اثبات اینکه آیا کسی قبلاً قبل از پچ از آن سوءاستفاده کرده است یا خیر، وجود ندارد.

با این حال، Shielded Labs بی‌دلیل نگران نبود؛ زیرا این باگ به اندازه‌ای ظریف بود که سال‌ها بررسی متخصصان را دور زده بود و کشف آن یک تلاش عمدی و بسیار ماهرانه با استفاده از ابزارها و هوش مصنوعی پیشرفته بود.

آنها اظهار داشتند که این شرکت با توسعه‌دهندگان زی کش روی یک ارتقاء شبکه پیشنهادی کار می‌کند تا به هر کسی اجازه دهد یکپارچگی عرضه ZEC را تأیید کند و عدم وجود توکن‌های جعلی در استخر Orchard را اثبات کند.

این اولین آسیب‌پذیری زی کش نیست

مرت ممتاز (Mert Mumtaz)، یکی از بنیان‌گذاران و مدیر عامل شرکت Helius، گفت که تقریباً تمام پروتکل‌های حریم خصوصی نوعی از همین آسیب‌پذیری را دارند. او گفت:

این FUD (ترس، عدم قطعیت و شک) هر پنج ماه یک بار با یادگیری نحوه کار استخرهای حریم خصوصی توسط افراد جدید، بر می‌گردد.

او توضیح داد که این یک ریسک نظری در اکثر پروتکل‌های حریم خصوصی با دانش صفر است که ناشی از باگ‌های مداری است که بهره‌برداری یا شناسایی آنها دشوار است.

این اولین بار نیست که یک آسیب‌پذیری مشابه در زی کش کشف می‌شود. در سال ۲۰۱۸، یک آسیب‌پذیری جعل در رمزنگاری زیربنای zk-proofs توسط شرکت Electric Coin کشف شد که در سال ۲۰۱۹ بدون هیچ گونه ضرری آن را برطرف کرد.