„Shielded Labs“ siūlo atnaujinti „Zcash“, kad būtų galima patikrinti tiekimą po klaidos

„Shielded Labs“ pasiūlė naują „Zcash“ tinklo atnaujinimą, kuris leistų bet kam patikrinti, ar privatumo monetos tiekimas nebuvo slapta išpūstas. Šis pasiūlymas pateiktas po to, kai buvo atskleista neseniai ištaisyta klaida pagrindiniame ekranuotame tinklo telkinyje, dėl kurio galėjo būti neaptinkama ZEC dolerio padirbinėjimo.

„Shielded Labs“, ne pelno organizacija, finansuojanti „Zcash“ plėtrą, tinklaraščio įraše teigė, kad pažeidžiamumas buvo neatrastas „Orchard“ baseine nuo 2022 m. gegužės mėn., kol inžinieriai jį uždarė šią savaitę. „Zcash“ yra maždaug 11-a pagal dydį kriptovaliuta pagal rinkos vertę. Remiantis CoinGecko duomenimis, $ZEC sumažino savaitės prieaugį – per pastarąsias septynias dienas sumažėjo 16%, o per pastarąsias 24 valandas – 25%, kai pasirodė naujienos apie klaidą.

„Orchard“, naujausias ir didžiausias „Zcash“ ekranuotas baseinas, turi daugiau nei 4 milijonus USD ZEC. Remiantis ekranuoto tiekimo stebėjimo įrenginiais, tai yra didžioji dalis maždaug 30 % pasiūlos, kuri yra privačiuose baseinuose. Epizode pabrėžiamas kompromisas, susijęs su privatumo monetomis: dėl tos pačios kriptografijos, kuri slepia pusiausvyrą, neįmanoma vien iš grandinės įrodyti, ar klaida buvo piktnaudžiaujama. „Shielded Labs“ teigė, kad nėra jokio būdo kriptografiškai nustatyti, ar kas nors išnaudojo trūkumą iki pataisymo, nors mano, kad ankstesnis išnaudojimas yra mažai tikėtinas.

Kaip buvo rasta klaida

Nepriklausomas saugumo tyrinėtojas Tayloras Hornby’is šį trūkumą aptiko gegužės 29 d., per „Shielded Labs“ užsakytą auditą. Tą vakarą jis jį atskleidė „Zcash Open Development Lab“ (ZODL), grupės, kuri prižiūri protokolą, inžinieriams. „Shielded Labs“ teigė, kad „Hornby“ kartu su pasirinktu AI įrankiu naudojo „Anthropic’s Opus 4.8“ modelį, išleistą gegužės 28 d. Jis parašė darbinį išnaudojimą, kuris vietinėje bandymo aplinkoje sukūrė neribotą padirbtą $ ZEC. „Shielded Labs“ teigė, kad naudojant pagrindinį tinklą, tas pats įrankis būtų gaminęs neribotą, neaptinkamą padirbtą ZEC USD kiekį.

Problema buvo patikimumo klaida, o tai reiškia, kad tinklas galėjo priimti sandorį, kurį jis turėjo atmesti. Tai atsirado dėl nepakankamai suvaržytos Orchard grandinės dalies, leidžiančios užpuolikui perduoti klaidingus duomenis per elipsinės kreivės patikrinimą ir vis tiek išlaikyti patikrinimą. „Shielded Labs“ apibūdino poveikį kaip galimybę „Orchard“ sukurti neribotą, neaptinkamą padirbtą USD ZEC.

Bendras tiekimas išlieka nepakitęs

„Zcash Foundation“, kuriantis „Zebra“ programinę įrangą, naudojamą tinklui valdyti, riziką aprašė trečiadienį paskelbtame įraše. Ji teigė, kad išnaudojimas galėjo leisti dvigubai išleisti Orchard, bet negalėjo išpūsti bendros ZEC USD vertės, kurią apriboja tinklo „turniketo“ apskaita. Turniketas riboja, kiek vertės gali palikti kiekvieną baseiną iki į jį įvestos sumos. Fondas teigė, kad turniketas patvirtino, kad visa pasiūla liko nepakitusi ir kad nėra neteisėto vertės kūrimo įrodymų. Abi grupės sutinka, kad klaida buvo užfiksuota prieš bet kokį žinomą išnaudojimą ir kad vartotojų privatumas nebuvo paveiktas.

Kaip pataisymas pasirodė

Po privataus derinimo su kalnakasiais ir mainų, prasidėjusių gegužės 31 d., inžinieriai atsiuntė avarinį minkštą šakę, kuri išjungė Orchard operacijas. Jis buvo suaktyvintas birželio 2 d. 3 363 426 bloke. „Hard Fork“ atnaujinimas, pavadintas NU6.2, birželio 3 d. iš naujo įgalino „Orchard“ su pataisyta grandine 3 364 600 bloke, pranešė fondas. Atsakymas buvo pavadintas antruoju saugumu paremtu atnaujinimu „Zcash“ istorijoje nuo tinklo paleidimo 2016 m. Pataisymas stebimas „Zebra“ saugos patarime. Sodų perkėlimai per langą buvo įšaldyti, o skaidrios ir sodinukų operacijos buvo vykdomos. Kai kurie blokų tyrinėtojai po to trumpam neparodė jokių naujų blokų ir sukėlė painiavą, kad tinklas nutrūko.

Siūlomas atnaujinimas

„Shielded Labs“ teigė, kad NU6.2 pašalina klaidą, bet neįrodo, kad „Orchard“ tiekimas niekada nebuvo sugadintas. Jo pasiūlyme būtų įdiegtas naujas ekranuotas baseinas ir visos monetos, išplaukiančios iš Orchardo, būtų nukreiptos per turniketo apskaitą, kad kiekvienas galėtų patikrinti, ar nėra padirbtų ZEC USD. Kaip ir bet kuriam didesniam atnaujinimui, jam reikės bendruomenės paramos ir prieš suaktyvinant jis turi praeiti Zcash valdymo procesą. „Shielded Labs“ pranešė, kad kitą savaitę planuoja paskelbti išsamią informaciją. Suderintas atsakas sulaukė kritikos. Kai kurie kūrėjai ir komentatoriai teigė, kad konfidencialus pataisymas, pagrįstas nedidele inžinierių, kalnakasių ir mainų grupe, parodė, koks centralizuotas gali būti tinklo atsakas į ekstremalias situacijas. Jie taip pat suabejojo, ar ekranuoti baseinai kada nors gali būti visiškai patikrinti.