Câu chuyện bắt đầu khi Shielded Labs công bố lỗ hổng nghiêm trọng trong Orchard shielded pool – lớp hạ tầng riêng tư cốt lõi của Zcash, nơi giao dịch được bảo vệ bằng công nghệ zero-knowledge proof để che giấu người gửi, người nhận và số dư.
Lỗ hổng này cho phép kẻ tấn công tạo ra ZEC giả không giới hạn mà không để lại dấu vết nào trên blockchain có thể quan sát được. Nhà nghiên cứu Taylor Hornby đã phát hiện lỗ hổng với sự hỗ trợ của AI Claude Opus 4 và tạo thành công kịch bản khai thác thử nghiệm trong môi trường kiểm thử.
Thị trường phản ứng ngay lập tức. ZEC lao từ vùng 630 USD xuống 303 USD – mất gần 52% giá trị. Áp lực càng tăng khi đồng sáng lập BitMEX Arthur Hayes tuyên bố thanh lý toàn bộ vị thế ZEC cùng lúc với HYPE, NEAR và WLD.
Tuy nhiên, sau khi Zcash công bố đã vá thành công lỗ hổng, ZEC hồi phục gần 44%, về vùng 436 USD tại thời điểm viết bài.
Nhà sáng lập Zcash Open Development Lab (ZODL) Josh Swihart cho biết nhóm phát triển đã triển khai quy trình vá lỗi khẩn cấp theo hai bước.
- Bước một: thực hiện soft fork để chặn toàn bộ giao dịch Orchard nhưng không công bố chi tiết kỹ thuật của lỗ hổng. Đây là cách ngăn kẻ xấu khai thác trước khi bản vá hoàn thiện, trong khi vẫn bảo vệ người dùng.
- Bước hai: kích hoạt hard fork Network Upgrade 6.2 (NU6.2) vào ngày 3/6 để xử lý tận gốc vấn đề và khôi phục hoạt động bình thường của Orchard.
Đây là điểm gây tranh cãi nhất và có lẽ sẽ còn kéo dài lâu. Lỗ hổng tồn tại âm thầm kể từ khi Orchard được triển khai vào năm 2022 – tức hơn 4 năm – trước khi được phát hiện.
Shielded Labs khẳng định không tìm thấy dấu hiệu lỗ hổng bị khai thác ngoài thực tế. Nhưng vấn đề là: chính cơ chế bảo mật zero-knowledge của Orchard – thứ tạo nên sự riêng tư mạnh mẽ của Zcash khiến không ai có thể chứng minh tuyệt đối rằng lỗ hổng chưa từng bị lợi dụng trong suốt thời gian đó.
Một chi tiết đáng chú ý trong vụ việc này: lỗ hổng được tìm ra không phải qua quy trình kiểm toán truyền thống, mà nhờ nhà nghiên cứu Taylor Hornby sử dụng AI Claude Opus 4 trong quá trình nghiên cứu.
Đây là minh chứng thực tế cho thấy AI đang thay đổi cách thức kiểm toán bảo mật nhưng cũng đặt ra câu hỏi: nếu AI có thể tìm ra lỗ hổng như vậy, liệu kẻ tấn công với công cụ tương tự có thể đã tìm ra trước đó?
Zcash đã xử lý khủng hoảng tương đối nhanh và minh bạch. Nhưng câu hỏi về 4 năm lỗ hổng tồn tại và liệu có ai đã khai thác hay không sẽ còn là bóng đen ám ảnh dự án này trong thời gian dài tới.
Đọc thêm:
Công an Hà Nội triệt phá đường dây SEO cho 22 website cờ bạc, nhận thanh toán bằng USDT
Lỗ hổng nghiêm trọng trong Zcash cho phép tạo coin giả vô hạn – ZEC lao dốc 30%
Cập nhật liên tục tại Tiền Điện Tử để nắm bắt tin tức mới nhất về thị trường crypto, đánh giá chi tiết các đồng coin tiềm năng và những chương trình Airdrop hấp dẫn mỗi ngày.
