Shielded Labs, güvenlik araştırmacısı Hornby’nin yerel test ortamında sınırsız ve tespit edilmesi zor sahte ZEC üretebilen tam işlevli bir istismar aracı yazdığını açıkladı. Kuruluşa göre aynı aracın Zcash ana ağında çalıştırılması halinde, saldırganın kendi cüzdanında sınırsız miktarda sahte ZEC oluşturması teorik olarak mümkün olabilirdi.
Açığın kapsamı ve ilk müdahale
Şirketin paylaştığı bilgilere göre bu senaryo, ZEC arzına duyulan güven üzerinde ciddi baskı yaratabilecek nitelikteydi. Dolaşımdaki token miktarının fark edilmeden şişirilmesi, doğrudan piyasa değerine ilişkin algıyı da zedeleyebilirdi.
Hornby, açığı tespit ettikten hemen sonra durumu Zcash Open Development Lab’e bildirdi. ZODL, 1 Haziran’da acil bir düzeltme süreci koordine etti ve sorun birkaç gün içinde kapatıldı. Zcash, gizlilik odaklı bir kripto para ağı olarak biliniyor; ZEC ise bu ağın yerel varlığı olarak kullanılıyor.
Shielded Labs, Hornby’nin kötü niyetli aktörlerden önce açığı bulma çabasında muhtemelen başarılı olduğunu düşündüklerini belirtti.
Açığın ne kadar süredir sistemde olduğu tartışma yarattı
Buna karşın, güvenlik açığının giderilmiş olması piyasalarda olumlu bir etki yaratmış görünmedi. Bunun başlıca nedenlerinden biri, hatanın Orchard yükseltmesinin etkinleştiği Mayıs 2022’den bu yana sistemde bulunması oldu. Başka bir ifadeyle sorun uzun süre fark edilmeden varlığını korudu.
Shielded Labs ayrıca açığın düzeltme öncesinde kullanılıp kullanılmadığını kesin olarak söyleyemediğini de kabul etti. Bu belirsizlik, özellikle arz bütünlüğü konusunda hassasiyet taşıyan yatırımcılar açısından ek risk algısı doğurdu.
Mini sözlük: Orchard, Zcash’in daha yeni korumalı işlem sistemini ifade eder. Shielded pool ise işlemlerin gönderici, alıcı ve tutar bilgisini gizlemeye yardımcı olan korumalı varlık havuzudur.
| Başlık | Metindeki bilgi |
|---|---|
| Açığın sisteme giriş zamanı | Mayıs 2022, Orchard etkinleşmesi |
| Düzeltme koordinasyonu | 1 Haziran, ZODL tarafından |
| Olası etki | Sınırsız ve tespit edilmesi zor sahte ZEC üretimi |
| İstismar durumu | Kesin olarak doğrulanamadı |
Yeni doğrulama planı ve güvenlik adımları
Kuruluş, buna rağmen açığın fiilen kullanılmış olma ihtimalinin düşük göründüğünü savundu. Gerekçe olarak, hatanın yıllar boyunca deneyimli kriptografi uzmanlarının incelemelerine rağmen ortaya çıkmamasını, ancak gelişmiş yapay zeka araçları ve yüksek yetkinlikte araştırmacıların hedefli çalışmasıyla bulunabilmesini gösterdi. Ayrıca açığın keşfedilmesinin ardından kısa sürede kapatıldığına dikkat çekildi.
Şirket, kullanıcıların yalnızca kendi değerlendirmelerine güvenmemesi gerektiğini, bu nedenle ZEC arzının bütünlüğünü bağımsız biçimde doğrulamaya imkan verecek bir ağ yükseltmesi önerdiklerini aktardı.
Önerilen plan, yeni bir korumalı havuzun devreye alınmasını ve Orchard havuzundan gelen tüm coinler için turnike muhasebesi uygulanmasını içeriyor. Shielded Labs, bu başlıkta ayrıntılı bir teknik paylaşımı gelecek hafta yayımlayabileceğini bildirdi.
Şirket ayrıca Hornby ile çalışmayı sürdürdüğünü, Orchard devresinde keşfedilmemiş hata bulunmadığını matematiksel olarak ispatlamayı hedefleyen resmi doğrulama projesini hızlandırdığını ve güvenlikten sorumlu yönetici ile kriptograf pozisyonları için yeni işe alımlar planladığını duyurdu.
