Шорты Zcash выросли за несколько дней до шокирующего бага

Пять кошельков тихо открыли примерно $72 миллиона в шорт-позициях против Zcash ($ZEC) за несколько дней до того, как критическая уязвимость в сети стала публичной, согласно данным аналитической фирмы Allium Labs. После раскрытия уязвимости, $ZEC упал на целых 45%, и эти трейдеры, по сообщениям, закрыли свои позиции с прибылью примерно $3.43 миллиона.
Что на самом деле было с багом
Уязвимость находилась в защищенном пуле Orchard Zcash, самом новом и передовом уровне конфиденциальности блокчейна. Уязвимость была обнаружена с момента активации Orchard в мае 2022 года и была выявлена 29 мая инженером по безопасности Тейлором Хорнби с использованием AI-модели Anthropic's Opus 4.8. Она заключалась в двух строках кода внутри схемы Orchard, криптографическом компоненте, регулирующем защищенные транзакции Zcash, и могла позволить злоумышленнику создать поддельный $ZEC внутри защищенного пула без ончейновой подписи.
Shielded Labs подтвердили, что Хорнби написал полный эксплойт, который, будучи протестированным в локальной среде, генерировал неограниченный, неуловимый контрафактный ZEC, и что запуск того же инструмента на мейннете произвел бы неограниченные контрафактные токены в его кошельке на мейннете. Крайне важно, что нет доказательств того, что уязвимость была использована на мейннете, и никакой несанкционированной стоимости не было создано.
Публичное раскрытие 5 июня вызвало резкую реакцию рынка. Артур Хейс, бывший CEO BitMEX, раскрыл, что он ликвидировал всю свою позицию в Zcash после раскрытия. Продажа усугубила то, что и так было трудной неделей для держателей $ZEC.
Экстренная реакция и что будет дальше
После того как Тейлор раскрыл баг, Zcash Open Development Lab и Фонд Zcash сработали быстро. Транзакции Orchard были приостановлены по всей сети, экстренный софтфорк был развернут 2 июня, и полный хардфорк NU6.2 активировался 3 июня, восстановив Orchard с исправленной схемой.
Предварительная активность на шорте, описанная Allium Labs, добавляет тревожный аспект к эпизоду. Тайминг вызывает вопросы о том, циркулировала ли информация об уязвимости за пределами небольшой группы разработчиков, которые координировали исправление. Вся координация была организована небольшой группой из трех разработчиков, которые вели переговоры непосредственно с тремя основными майнинговыми пулами, dominating хэш- мощностью Zcash, в то время как более широкое сообщество Zcash, включая майнеров вне этих пулов, операторов узлов и держателей ZEC, узнало об этом уже после факта.
Shielded Labs сообщают, что нет криптографического способа узнать, была ли уязвимость использована до исправления, и предлагают обновление сети с новыми бухгалтерскими мерами и расширенными усилиями по безопасности для восстановления доверия к целостности поставок $ZEC. В ответ на уязвимость, основные разработчики предложили обновление Ironwood, которое использует исправленный код и вводит механизм турникета для отслеживания ZEC, перемещающегося внутрь и наружу, позволяя любому, кто запускает узел, криптографически проверять общее количество, с целевым запуском, запланированным на конец июля 2026 года.
Источники:
CoinDesk: Zcash рухнул после того, как Shielded Labs раскрыли серьезный баг
Crypto Briefing: Zcash обвалился на 38% после раскрытия критической уязвимости контрафакта
Blockhead: Основатель Zcash раскрыл критический баг Orchard, исправленный экстренным хардфорком