Zcash четыре года скрывал дыру, через которую можно было печатать деньги из воздуха. Воспользовался ли кто-то — неизвестно
NewsMakerДыру закрыли. Эмиссию проверить невозможно. Доверие — подорвано.
Zcash резко подешевел после раскрытия критической ошибки в приватном пуле Orchard. По данным Shielded Labs, уязвимость могла позволить незаметно создавать неограниченное количество поддельных ZEC внутри защищённой части сети. На фоне публикации токен за сутки потерял около 38%, опускался до $442,6 и затем торговался примерно около $458.
Проблема затрагивала Orchard, самый новый приватный пул Zcash. В таких пулах транзакции скрывают отправителя, получателя и сумму перевода с помощью криптографии . Именно это делает Zcash одним из самых известных приватных криптопроектов , но та же особенность усложняет проверку: если ошибка позволяет создать лишние монеты внутри защищённого пула, обычные методы анализа блокчейна могут не показать, произошло ли это на самом деле.
Уязвимость обнаружил 29 мая инженер по безопасности Тейлор Хорнби. Shielded Labs привлекла его в апреле 2026 года специально для поиска ошибок в протоколе до того, как ими воспользуются злоумышленники. При проверке Хорнби использовал модель Anthropic Opus 4.8 и сосредоточился на схеме Orchard, которая отвечает за работу защищённого пула.
В локальной тестовой среде исследователь написал рабочий эксплойт . По данным Shielded Labs, этот код мог создавать неограниченное количество поддельных ZEC без признаков, которые позволили бы отличить такие монеты от настоящих. Если бы инструмент запустили в основной сети, поддельные токены оказались бы в кошельке атакующего и не выделялись бы криптографически.
После обнаружения Хорнби передал информацию Zcash Open Development Lab. Команда организовала экстренное исправление, которое закрыло уязвимость в течение нескольких дней. По сообщениям о ходе обновления, сначала операции Orchard временно ограничили через экстренный софтфорк, а затем выпустили постоянное исправление через обновление NU6.2.
Рынок отреагировал не на сам факт исправления, а на срок существования ошибки и невозможность полной проверки прошлого. Orchard активировали в мае 2022 года, поэтому уязвимость могла оставаться в коде около 4 лет. Shielded Labs признала, что из-за приватной архитектуры Orchard и характера самой ошибки нельзя криптографически доказать, использовал ли кто-то этот путь до исправления.
Организация при этом считает реальную эксплуатацию маловероятной. Аргумент такой: ошибка пережила годы проверок опытными криптографами и была найдена только после целенаправленного аудита с участием сильного специалиста и современной ИИ-модели . После раскрытия окно для атаки быстро закрыли. Но Shielded Labs отдельно подчёркивает, что пользователям не стоит полагаться только на такую оценку.
Для восстановления доверия разработчики предлагают новое обновление сети. Оно должно создать новый защищённый пул и ввести дополнительный учёт монет, которые выходят из Orchard. Такой механизм позволит независимо проверить целостность предложения ZEC, а не просто доверять заверениям команды о том, что лишние монеты не появились.
Shielded Labs также собирается усилить безопасность Zcash. В планах — продолжение работы с Хорнби, формальная верификация схемы Orchard, набор руководителя по безопасности и криптографа. Формальная верификация в этом контексте означает математическую проверку схемы, которая должна доказать отсутствие определённых классов ошибок, а не обычный ручной аудит.
Случай с Orchard болезненен для Zcash именно потому, что приватность проекта основана на доверии к криптографической корректности. В публичных блокчейнах лишнюю эмиссию обычно проще заметить по балансу адресов и движению монет. В защищённом пуле Zcash данные скрыты по замыслу системы, поэтому критическая ошибка в схеме бьёт не только по цене токена, но и по главному обещанию проекта: приватность должна работать без ущерба для проверяемой денежной массы.
Zcash резко подешевел после раскрытия критической ошибки в приватном пуле Orchard. По данным Shielded Labs, уязвимость могла позволить незаметно создавать неограниченное количество поддельных ZEC внутри защищённой части сети. На фоне публикации токен за сутки потерял около 38%, опускался до $442,6 и затем торговался примерно около $458.
Проблема затрагивала Orchard, самый новый приватный пул Zcash. В таких пулах транзакции скрывают отправителя, получателя и сумму перевода с помощью криптографии . Именно это делает Zcash одним из самых известных приватных криптопроектов , но та же особенность усложняет проверку: если ошибка позволяет создать лишние монеты внутри защищённого пула, обычные методы анализа блокчейна могут не показать, произошло ли это на самом деле.
Уязвимость обнаружил 29 мая инженер по безопасности Тейлор Хорнби. Shielded Labs привлекла его в апреле 2026 года специально для поиска ошибок в протоколе до того, как ими воспользуются злоумышленники. При проверке Хорнби использовал модель Anthropic Opus 4.8 и сосредоточился на схеме Orchard, которая отвечает за работу защищённого пула.
В локальной тестовой среде исследователь написал рабочий эксплойт . По данным Shielded Labs, этот код мог создавать неограниченное количество поддельных ZEC без признаков, которые позволили бы отличить такие монеты от настоящих. Если бы инструмент запустили в основной сети, поддельные токены оказались бы в кошельке атакующего и не выделялись бы криптографически.
После обнаружения Хорнби передал информацию Zcash Open Development Lab. Команда организовала экстренное исправление, которое закрыло уязвимость в течение нескольких дней. По сообщениям о ходе обновления, сначала операции Orchard временно ограничили через экстренный софтфорк, а затем выпустили постоянное исправление через обновление NU6.2.
Рынок отреагировал не на сам факт исправления, а на срок существования ошибки и невозможность полной проверки прошлого. Orchard активировали в мае 2022 года, поэтому уязвимость могла оставаться в коде около 4 лет. Shielded Labs признала, что из-за приватной архитектуры Orchard и характера самой ошибки нельзя криптографически доказать, использовал ли кто-то этот путь до исправления.
Организация при этом считает реальную эксплуатацию маловероятной. Аргумент такой: ошибка пережила годы проверок опытными криптографами и была найдена только после целенаправленного аудита с участием сильного специалиста и современной ИИ-модели . После раскрытия окно для атаки быстро закрыли. Но Shielded Labs отдельно подчёркивает, что пользователям не стоит полагаться только на такую оценку.
Для восстановления доверия разработчики предлагают новое обновление сети. Оно должно создать новый защищённый пул и ввести дополнительный учёт монет, которые выходят из Orchard. Такой механизм позволит независимо проверить целостность предложения ZEC, а не просто доверять заверениям команды о том, что лишние монеты не появились.
Shielded Labs также собирается усилить безопасность Zcash. В планах — продолжение работы с Хорнби, формальная верификация схемы Orchard, набор руководителя по безопасности и криптографа. Формальная верификация в этом контексте означает математическую проверку схемы, которая должна доказать отсутствие определённых классов ошибок, а не обычный ручной аудит.
Случай с Orchard болезненен для Zcash именно потому, что приватность проекта основана на доверии к криптографической корректности. В публичных блокчейнах лишнюю эмиссию обычно проще заметить по балансу адресов и движению монет. В защищённом пуле Zcash данные скрыты по замыслу системы, поэтому критическая ошибка в схеме бьёт не только по цене токена, но и по главному обещанию проекта: приватность должна работать без ущерба для проверяемой денежной массы.