隐私の汚点:ZECが30%超急落、自らの潔白を証明できない「無制限増刷」脆弱性
- 核心見解:Zcashのプライバシープール「Orchard」において、ZECを無制限かつ検出不能に偽造できる深刻な脆弱性が発見された。既に修正されたものの、過去約4年間に悪用されたことがないとは証明できず、市場はZEC供給量の信頼性に疑念を抱き、価格は30%超急落した。
- 主要要素:
- この脆弱性は、セキュリティ研究者のTaylor Hornby氏により5月29日に発見され、既にローカル環境で無制限に偽造ZECを生成するエクスプロイトプログラムの作成に成功したが、メインネットにはデプロイされていない。
- 脆弱性は、Orchard回路における「制約が不完全な」楕円曲線乗算チェックに起因し、攻撃者は「資産保存」の検証を迂回して、無から資産を創造できる。
- Zcashチームは4日以内に緊急のソフト/ハードフォークにより脆弱性を修正したが、市場のパニックは、この脆弱性が2022年5月の有効化以来、約4年間潜伏していたことに起因する。
- Zcashの「Turnstile Accounting」ゲートメカニズムは、Orchardから流出する資産総量を制限し、総供給量上限の突破を防ぐことができるが、プール内の過去の履歴に偽造資産が存在しなかったことを直接証明することはできない。
- 信頼を再構築するため、Shielded Labsはネットワークアップグレードを計画しており、新しいプライバシープールをデプロイし、旧プールの資産を検証可能な形で移行することで、最終的に供給量の完全性を証明しようとしている。
- この脆弱性の発見プロセスは注目に値する。Taylor氏は新たにリリースされた汎用AIモデル「Claude Opus 4.8」を活用してレビューとエクスプロイトプログラムの作成を支援した。これは、AIの能力がセキュリティ分野に拡散していることを示している。
TL;DR
- Orchard において、無制限かつ検出不可能な偽造 ZEC を生成できる脆弱性が発見されました。修正は行われたものの、コミュニティは過去約4年間にわたってこの脆弱性が悪用されていないことを証明できません。
- ZEC が30%以上急落した本質は、市場が Zcash の供給量の信頼性に再び疑問を抱き始めたことです。
- 関連銘柄:ZEC(Zcash)、Anthropic(未上場)
6月5日、Zcash の創設者である Zooko Wilcox は、異例となるセキュリティに関する詳細な振り返りの記事を公開しました。
記事によると、セキュリティ研究者の Taylor Hornby が5月29日に、Zcash の最新世代のプライバシープールである Orchard に深刻な偽造の脆弱性を発見しました。攻撃者は、本来であれば検証を通過できないはずのトランザクションを構築し、Orchard 内部で無制限かつ検出不可能な偽造 ZEC を生成できます。
これは理論上のリスクに留まりません。Taylor はローカルのテスト環境で完全なエクスプロイトプログラムを作成し、実際に偽造 ZEC を生成しました。同じプログラムがメインネットにデプロイされた場合、攻撃者は理論上、自身のメインネットウォレットでも無制限に偽造資産を生成できることになります。
この情報が公開された後、ZEC は一時30%以上下落しました。CoinMarketCap のデータによると、ZEC は24時間以内に最低408.39ドルまで下落し、同期間の高値610.47ドルから約3分の1の価値を失いました。残念ながら、これは仮想通貨市場において最近では数少ない優れた富の効果を持つ銘柄であり、多くの大物に支持される素晴らしいストーリーを持っていましたが、この脆弱性によって完全に打ち砕かれました。
結果だけを見れば、これはまたおなじみの暗号資産セキュリティ事故のように見えます。脆弱性が発見され、開発者が緊急修正し、市場がパニックに陥る。
しかし、Orchard 事件が本当に厄介なのは、脆弱性は修正されたものの、Zcash コミュニティが別のさらにセンシティブな質問に直接答えられないという点です。
過去4年間に、すでに誰かがこの脆弱性を悪用していたのではないか?
4日間の緊急修正、Orchard は一時運行停止
Orchard は、Zcash が2022年に稼働を開始した次世代プライバシー決済プロトコルであり、現在 Zcash が主に使用しているプライバシープールの1つです。ユーザーは残高、取引額、資金の流れを隠しつつ、ゼロ知識証明を通じて取引がルールに準拠していることをネットワークに証明できます。
Zooko、Shielded Labs、そして Zcash コミュニティが公開したタイムラインによると、Taylor は5月29日に Orchard 回路の対象を絞ったセキュリティレビューを実施中に異常を発見し、直ちにその脆弱性を Zcash Open Development Lab(ZODL)に非公開で報告しました。Shielded Labs は、スイスに本拠を置き、寄付によって運営される独立した Zcash エコシステム支援組織であり、Zcash のプロトコル開発、セキュリティ、ネットワークの持続可能性に長期的に関与しており、Zcash Foundation や ZODL には属していません。
ZODL のエンジニアは報告を受けてから数時間以内に問題の存在を確認し、修正方法の模索を開始しました。コードパッチを直接公開すると脆弱性の原理が明らかになる可能性があるため、チームはまず Orchard を一時的に停止することを選択しました。新しい Orchard アウトプットの作成と、Orchard 内にすでに存在する資金の支出を禁止したのです。
開発者、マイナー、ノードオペレーター、取引所、インフラサービスプロバイダーが連携してアップグレードを行った後、緊急ソフトフォークは6月2日に発効しました。その後、Zcash はハードフォークアップグレードを通じて Orchard 回路の検証鍵を更新し、6月3日に Orchard の機能を復旧させました。この間、透過アドレスと Sapling プライバシープールは引き続き稼働可能でした。
脆弱性の開示から修正完了まで、全体のプロセスはわずか数日でした。緊急対応のスピードという点では、これは非常に成功した対処と言えるでしょう。
しかし、市場は脆弱性が修正されたことで平静を取り戻したわけではありません。修正が解決したのは未来のことであり、過去のことではないからです。
市場が懸念するのは攻撃がまだ起こり得ることではなく、攻撃がすでに起こっていた可能性だ
通常のセキュリティ事故では、比較的明確な損失規模が存在します。スマートコントラクトがハッキングされれば、攻撃者がどれだけの資産を移動させたかをオンチェーンで追跡できます。クロスチェーンブリッジに脆弱性があれば、資金の流れや影響を受けたアドレスを統計することも可能です。
しかし、Orchard 事件は違います。
Shielded Labs の説明によると、この脆弱性は Orchard 内部で無制限かつ検出不可能な偽造 ZEC を生成するために悪用される可能性があります。Orchard 自体がプライバシー特性を持っているため、外部からは暗号学的な方法だけでは、修正前にこの攻撃経路が悪用されたかどうかを確実に証明できません。
これは、市場が確定した損失額に直面しているのではなく、定量化が困難な不確実性に直面していることを意味します。
もし過去に誰かがこの脆弱性を発見し悪用していたなら、Orchard 内部にはすでに偽造 ZEC が存在しているのでしょうか?存在する場合、その規模はどれほどでしょうか?これらの資産はまだプライバシープール内に留まっているのでしょうか?それとも、通常の取引を通じて徐々に流出していたのでしょうか?
さらに重要なのは、このリスクの窓口は5月29日から始まったわけではないということです。Shielded Labs は、この脆弱性は Orchard が2022年5月に稼働を開始して以来存在しており、2026年6月の緊急修正が完了するまで続いていたと述べています。言い換えれば、問題は約4年間潜伏していたことになります。
市場が本当に懸念しているのは、5月29日から6月2日の間に何が起こったかではなく、過去4年間に直接観測できない異常がすでに発生していたかどうかです。
これこそが ZEC が30%以上も急落した核心的な理由です。
市場が売っているのは単なる脆弱性ではなく、供給量の信頼性に対する再評価です。
数学的制約の見落としが、どのようにして「無限増刷」リスクに発展したのか
「無限増刷の脆弱性」という言葉を聞くと、まずハッカーが管理者権限を掌握したか、何らかのプロトコルのバックドアを入手したと考えがちです。
実際の状況はもっと根底的です。
Orchard のセキュリティは、一連のゼロ知識証明回路(Orchard circuit)に依存しています。ユーザーは取引の具体的な内容を隠せますが、自身の取引がプロトコルのルールを満たしていることをネットワークに証明しなければなりません。その中で最も重要なルールの1つが、資産保存の法則です。取引は新しい価値を無から生み出すことはできません。
簡単に言えば、ユーザーは自分がどれだけの ZEC を保有しているか、誰にどれだけの ZEC を送金したかを公開する必要はありませんが、ネットワークは次のことを確認できなければなりません。
支出された資産が確かに正当なインプットから来ていること。
Taylor が発見した問題は、Orchard 回路内の特定の楕円曲線乗算チェックにありました。
Shielded Labs はこれを「under-constrained element(制約が不完全な回路要素)」と表現しています。関連する数学的関係が完全に制約されていなかったため、攻撃者は楕円曲線乗算プロセスに任意の誤ったデータを入力しても、検証プロセスが通過を返す可能性がありました。
言い換えれば、攻撃者は暗号アルゴリズムを解読したり、ネットワークノードを制御したりする必要はありません。
彼らは単に、本来成立すべきでないデータを構築し、システムに取引が依然として資産保存を満たしていると誤って信じ込ませるだけでよいのです。
この誤った証明がネットワークに受け入れられると、本来存在しない ZEC が正当な資産として扱われ、Orchard 内に留まり続けることができます。
これが、Shielded Labs が極めて厳しい表現「unlimited, undetectable counterfeit ZEC(無制限で検出不可能な偽造 ZEC)」を使用した理由です。
本当に危険なのは「無制限」であることだけでなく、「検出不可能」であることにもあります。
h2>2つの表現の間には、重要な違いが存在する
Zcash Foundation はアップグレード完了後の発表で、現在のところ脆弱性が悪用された証拠は見つかっておらず、許可されていない価値創造は検出されておらず、ユーザーの資金とプライバシーは影響を受けていないと述べています。また、Zcash の既存の Turnstile Accounting メカニズムが異なる資金プール間の価値の流れを追跡し、2100万 ZEC の総供給量上限を保護できると強調しています。
一方で、Shielded Labs は、暗号学的な証明のみに依存して Orchard の歴史上、偽造 ZEC が一度も存在しなかったと断言することはできないと明確に述べています。
これらの2つの見解は一見矛盾しているように見えますが、実際には異なるレベルの問題に焦点を当てています。
Zcash の既存の Turnstile Accounting は、異なる資金プール間の「ゲート」と考えることができます。システムは、正当な資産がどれだけ Orchard に流入したかを集計し、Orchard から流出できる資産の規模を制限できます。
仮に Orchard に元々100万の正当な ZEC しかなかった場合、攻撃者が内部でより多くの資産を偽造したとしても、システムは正当な規模を超える資産すべてを流出させることを許可しません。これにより、Zcash ネットワーク全体の総供給量上限が容易に突破されるのを防ぐことができます。
しかし、このメカニズムは Orchard 内部に一度も偽造コインが存在しなかったことを直接証明するものではありません。
偽造資産が依然として Orchard 内に留まっている場合、または正当な流出枠内で徐々に本物の資産と置き換わっている場合、既存の統計メカニズムは完全な歴史的結論を提供できない可能性があります。
この、おそらく最も歴史のある暗号資産プライバシープロジェクトについて私たちが知り得るのは、現時点では異常な増刷の証拠は見つかっていないものの、コミュニティは Orchard 内部に偽造資産が一度も存在しなかったことを直接証明できないということです。
これこそが、市場が最も対処しにくいリスクのタイプです。
問題は、どれだけの偽造コインが見つかったかではなく、誰も偽造コインが一度も存在しなかったことを完全に確認できないということです。
Zcash はどのようにして Orchard に偽造コインがないことを再証明するのか?
脆弱性の修正は第一歩に過ぎません。
Shielded Labs は、他の Zcash 開発者と協力して、新しいネットワークアップグレード提案を研究中であると述べています。この提案には、新しいプライバシープールのデプロイと、Orchard から移行されるすべての資産に対する Turnstile Accounting の強制が含まれます。
これは、Orchard に新しい移行ゲートを設定することに相当します。
古い Orchard 内の資産が新しいプライバシープールに移行したい場合、検証可能なルールに従って移行を完了する必要があります。システムは、流出する正当な資産の規模を再集計し、正常に移行できない余分な ZEC が存在するかどうかを判断できます。
アップグレードが問題なく完了すれば、誰でも Zcash の供給量の完全性を検証し、Orchard に偽造資産が存在しないことをさらに証明できるようになります。
この提案の意義は、単にコードを修正することではなく、Orchard に対する市場の信頼を再構築することにあります。
なぜなら、プライバシーシステムにおいて、信頼は「攻撃は起こっていないと私たちは考える」というところから来るのではなく、「誰でも攻撃が起こっていないことを検証できる」というところから来るべきだからです。
Shielded Labs 自身も、これまで悪意を持って悪用された可能性は低いと認めています。脆弱性は長年隠されており、発見は極めて困難でした。Taylor は専門的なセキュリティ研究プロジェクトにおいて、この種の問題を積極的に探していました。脆弱性が開示された後、エコシステムは数日以内に攻撃の窓口を迅速に閉鎖しました。
しかし、Shielded Labs は同時に、ユーザーは開発チームの主観的な判断だけに依存すべきではないと強調しています。
市場が必要としているのは証明です。
4年間隠された脆弱性が、なぜ今になって発見されたのか?
Orchard 事件には、市場が見逃しがちなもう一つの詳細があります。
5月28日、Anthropic が Claude Opus 4.8 をリリースしました。
その翌日、Taylor が Orchard の脆弱性を発見しました。
Zooko と Shielded Labs の振り返りによると、Taylor は Opus 4.8 のリリース後間もなく、これを高度に目標を絞った Orchard 回路のレビューに使用し、5月29日に問題を発見しました。その後、Opus 4.8 の支援を受けて完全なエクスプロイトプログラムを作成し、ローカル環境で無制限かつ検出不可能な偽造 ZEC を生成しました。
この詳細が注目に値するのは、AI が独立して暗号監査を完了できるようになったからではありません。
公開情報は、そのような誇張された結論を支持していません。
Taylor 自身は経験豊富なセキュリティ研究者です。Shielded Labs も、彼が従来のセキュリティ研究方法、カスタマイズされた AI ツールフレームワーク、そして特別に設計されたプロンプトを同時に使用したと述べています。Opus 4.8 はレビュープロセスにおける重要なツールでしたが、唯一の要因ではありませんでした。
本当に注目すべきは、Taylor が
