Zcash(ZEC)はプライバシー重視の暗号資産で、6月4日に重要な脆弱性を開示し、Orchard Poolのプライバシー取引エリアで無制限の偽造コインが作成される可能性があるとした。この脆弱性は、テイラー・ホーンビーが5月29日にAnthropicのOpus 4.8 AIモデルを使ってOrchard Circuitのコードを監査中に発見した。脆弱性の原因は、楕円曲線演算の検証プロセスにおける制約条件が不十分だったことで、入力値が誤っていても検証が通るようになっていた。Zcashの創業者ズーコー・ウィルコックスは、Xを通じて緊急パッチがエコシステム全体に展開されたと発表し、開発企業Shielded Labsのレポートを根拠として挙げた。この欠陥は、2022年5月にOrchard Poolが有効化されて以来存在しており、主要な暗号研究者によるレビューがあったにもかかわらず4年間見過ごされていた。
Taylor Hornby、Anthropic Opus 4.8 AIモデルを用いて脆弱性を発見
テイラー・ホーンビーは、Anthropicの最新Opus 4.8 AIモデルを使ってOrchard Circuitを調べている最中の5月29日に、この脆弱性を特定した。発見は、Zcashのプライバシー取引インフラに対する定常的なセキュリティ監査の期間中に起きた。ズーコー・ウィルコックスは、6月4日のX投稿でホーンビーの発見を引用し、欠陥の技術的性質を詳述するShielded Labsのレポートを含めた。
楕円曲線の検証不備により無制限のZEC生成が可能に
Shielded Labsのレポートによると、この脆弱性は、Orchard Circuit内の楕円曲線演算の検証プロセスにおける制約条件が不十分だったことに起因する。この弱点により、攻撃者は誤った入力値を用いても検証チェックを通過でき、理論上は無制限の偽造ZECトークンの生成が可能になるという。欠陥は、Zcashのプライバシー取引エリアであるOrchard Poolに特に影響し、取引の詳細を公開の場から隠すよう設計されている。
Shielded Labs、緊急パッチの展開を完了
ズーコー・ウィルコックスは、緊急対応によって脆弱性が修正され、パッチがエコシステム全体で完了したと述べた。脆弱性は、Orchard Poolが有効化された2022年5月から、5月29日の発見まで存在していた。Shielded Labsは、この4年間の期間に実際に脆弱性が悪用されたかどうかを暗号学的に立証することは不可能だと指摘した。レポートでは、パッチ以前に偽造が起きたかどうかを確認する方法は存在しない一方で、この欠陥は数年にわたり一流の暗号研究者によって検知を逃れ、最先端のAIベースのセキュリティ研究によって初めて発見されたため、事前の悪用の可能性は低いと考えられると述べている。
Shielded LabsがTurnstile Accountingの導入について説明
Shielded Labsは、新しいプライバシープールの導入と、既存のOrchard Poolの資産へのTurnstile Accountingの適用について議論している。同社は、この取り組みにより、誰でもZcashの総供給の完全性を検証でき、Orchard Poolの中に偽造コインが存在するかどうかを確認できるようになると述べた。
ZEC価格、開示後に17.04%下落し$447に
6月5日時点で、ZECはCoinGeckoデータによると$447(約687,200ウォン)で取引されていた。これは、脆弱性開示後の24時間で17.04%の下落を意味する。
よくある質問
研究者はどのようにしてZcashの脆弱性を発見したのですか?
テイラー・ホーンビーは、Orchard Circuitのコードを監査する際に、AnthropicのOpus 4.8 AIモデルを使って5月29日に脆弱性を発見した。AI支援による分析により、楕円曲線演算の検証プロセスにおける制約条件が不十分であり、そのため4年間にわたり一流の暗号研究者による検知を逃れていたことが特定された。
パッチ適用前に脆弱性が悪用されたかどうか、誰かが確認できますか?
Shielded Labsは、2022年5月から5月29日までの4年間の期間に脆弱性が実際に悪用されたかどうかを、暗号学的に証明することは不可能だと述べた。レポートでは、検証方法は存在しないものの、欠陥の複雑さと、その発見に必要な高度なAIツールを考えると、事前の悪用の可能性は低いとされている。
今後の偽造を防ぐためにZcashはどんな対策を実施していますか?
Shielded Labsは、新しいプライバシープールの導入と、既存のOrchard Poolの資産へのTurnstile Accountingの適用について議論している。同社は、この取り組みにより、誰でもZcashの総供給の完全性を検証でき、Orchard Poolの中に偽造コインが存在するかどうかを確認できるようになると述べた。
