Shielded Labs сообщила, что в сети Zcash устранили критическую уязвимость в shielded pool Orchard. Баг 29 мая 2026 года обнаружил исследователь Тейлор Хорнби, экстренное исправление развернули 1 июня, а полное обновление сети завершили 3 июня.
Shielded Labs сообщила на форуме Zcash Community Forum, что в сети Zcash устранили критическую уязвимость в shielded pool Orchard. Баг 29 мая 2026 года обнаружил исследователь Тейлор Хорнби, экстренное исправление развернули 1 июня 2026 года, а полное обновление сети завершили 3 июня 2026 года.
По данным Shielded Labs, уязвимость существовала с момента запуска Orchard в мае 2022 года до экстренного исправления 1 июня 2026 года. Хорнби нашел проблему во время аудита для организации и ответственно раскрыл ее инженерам Zcash Open Development Lab (ZODL).
Сначала в сети активировали soft fork: он временно отключил создание новых Orchard-выходов и расходование уже существующих средств в этом пуле. Затем разработчики провели hard fork, обновили zero-knowledge proof circuit и 3 июня 2026 года снова включили Orchard. Транзакции Orchard были приостановлены примерно на 24 часа.
Shielded Labs заявила, что не обнаружила следов эксплуатации бага, не выявила несанкционированного создания стоимости и не зафиксировала влияния на общий объем предложения ZEC. По ее данным, средства пользователей оставались в безопасности, приватность активов не пострадала, а Sapling и прозрачные транзакции продолжали работать.
При этом Decrypt отметил, что из-за приватных свойств Orchard криптографически доказать, использовалась ли уязвимость в период с мая 2022 года по июнь 2026 года, невозможно. Издание также сообщило, что Хорнби использовал Claude Opus 4.8 от Anthropic и воспроизвел рабочий эксплойт в локальной среде. По данным Decrypt, баг потенциально позволял проводить недействительные переходы состояния внутри Orchard и создавать поддельные ZEC внутри shielded pool без явных ончейн-признаков.
Shielded Labs предложила дальнейшее обновление с новым shielded pool и дополнительной проверкой средств, чтобы снять сомнения вокруг Orchard. Подробное предложение, по данным Decrypt, ожидается на следующей неделе. В Shielded Labs назвали инцидент вторым связанным с безопасностью протокольным обновлением в истории Zcash с 2016 года.
Leave a Reply