ZEC giảm 40% khi Shielded Labs công bố thêm thông tin về lỗ hổng có thể tạo ra lượng coin giả vô hạn

Giá ZEC đã giảm vào thứ Năm sau khi các chi tiết bổ sung được tiết lộ về một lỗ hổng nghiêm trọng trong việc làm giả ZEC tại Orchard pool của Zcash, điều này về mặt lý thuyết có thể cho phép kẻ xấu tạo ra một lượng ZEC không giới hạn.

Theo một bài đăng trên X, kỹ sư bảo mật Taylor Hornby, người được Shielded Labs thuê, đã phát hiện ra lỗi này vào ngày 29 tháng 5 và báo cáo cho Zcash Open Development Lab (ZODL), đơn vị đã triển khai biện pháp ứng phó khẩn cấp để khắc phục lỗ hổng bằng cách kích hoạt hard fork vào ngày 3 tháng 6. 

Tuy nhiên, xuất hiện những lo ngại mới về mức độ khai thác lỗ hổng bảo mật vốn đã tồn tại từ tháng 5 năm 2022, dẫn đến việc Zcash giảm hơn 40% trong 24 giờ qua, xuống còn 322.46 USD vào thời điểm viết bài này. Vốn hóa thị trường của nó đã giảm hơn 3 tỷ USD.

Tuy nhiên, người đồng sáng lập BitMEX, Arthur Hayes, cho biết hôm thứ Sáu rằng khó có khả năng ZEC được tạo ra bất hợp pháp theo cách này, mặc dù ông thừa nhận “không thể chứng minh một cách chính thức bằng mật mã rằng điều đó là không thể”.

“Thật đáng tiếc, do lỗ hổng bảo mật Orchard Pool, tôi đã phải bán toàn bộ số ZEC của mình”, ông ấy nói.

“Bộ ba thần thánh đã chết”, ông nói thêm, ám chỉ Zcash và hai token khác mà ông đã bán trong tuần này, Hyperliquid (HYPE) và Near Protocol (NEAR).

Claude hỗ trợ trong việc phát hiện lỗi

Taylor đã sử dụng Claude Opus 4.8, được phát hành vào ngày 28 tháng 5, một ngày trước khi phát hiện ra lỗ hổng, để hỗ trợ việc xem xét kỹ lưỡng mạch Orchard, thành phần mật mã nằm bên dưới nhóm bảo mật Orchard của Zcash.

Lỗi nghiêm trọng này cho phép nhập dữ liệu sai vào quá trình kiểm tra phép nhân đường cong elliptic, điều đó có nghĩa là các phép toán được cho là dùng để xác minh giao dịch bằng mật mã có thể bị đánh lừa.

Taylor đã xây dựng và thử nghiệm một lỗ hổng bảo mật hoạt động hiệu quả, cho phép tạo ra số lượng ZEC giả không giới hạn. 

“Nếu anh ta sử dụng công cụ tương tự trên mạng chính Zcash, nó sẽ tạo ra lượng ZEC giả mạo không giới hạn và không thể phát hiện được trong ví Zcash trên mạng chính của anh ta”, các nhà nghiên cứu bảo mật cho biết hôm thứ Sáu. 

Mối lo ngại chính là không có cách mã hóa nào để chứng minh liệu có ai đã từng khai thác lỗ hổng này trước khi nó được vá lỗi hay chưa, do các đặc tính bảo mật của Orchard. 

Tuy nhiên, Shielded Labs “không quá lo ngại” vì lỗi này đủ tinh vi để tránh được nhiều năm xem xét của các chuyên gia, và việc phát hiện ra nó là một nỗ lực có chủ đích, đòi hỏi kỹ năng cao, sử dụng các công cụ và trí tuệ nhân tạo tiên tiến.

Công ty này đang hợp tác với các nhà phát triển Zcash về một đề xuất nâng cấp mạng lưới nhằm cho phép bất kỳ ai cũng có thể xác minh tính toàn vẹn của nguồn cung ZEC và chứng minh sự không tồn tại của các token giả mạo trong nhóm Orchard, họ cho biết. 

Đây không phải là lỗ hổng giả mạo đầu tiên đối với Zcash

Mert Mumtaz, đồng sáng lập và CEO của công ty công cụ phát triển Solana Helius, cho biết gần như tất cả các giao thức bảo mật đều tồn tại một biến thể của loại lỗ hổng này.

Cứ khoảng năm tháng một lần, làn sóng FUD tương tự lại xuất hiện khi có thêm những người mới tìm hiểu cách hoạt động của các privacy pool.

Ông giải thích rằng đây là một rủi ro mang tính lý thuyết tồn tại trong phần lớn các giao thức bảo mật sử dụng zero-knowledge proof (bằng chứng không kiến thức), bắt nguồn từ các lỗi trong mạch tính toán (circuit bugs) vốn rất khó khai thác hoặc phát hiện.

Đây cũng không phải lần đầu tiên một lỗ hổng tương tự được phát hiện trong Zcash.

Vào năm 2018, Electric Coin Company đã phát hiện một lỗ hổng cho phép tạo tiền giả (counterfeiting vulnerability) trong hệ thống mật mã nền tảng của các bằng chứng zk-proof. Công ty sau đó đã khắc phục thành công lỗ hổng này vào năm 2019 mà không gây ra bất kỳ tổn thất tài chính nào.

THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER