Zcash Orchard脆弱性に関する4つの疑問：悪用されたのか？資金は回収可能か？供給量は検証可能か？他に問題はあるのか？Ironwoodアップグレード後、ユーザーはZcashが過剰発行されていないかを自ら検証できるようになる。

• 核心ポイント：Zcash創設者がOrchard脆弱性問題に応答。脆弱性がこれまで悪用されていない可能性が高いと見解。合法的な資金は回収可能だが、ユーザーは現時点でZEC供給量が基準を超えているかを独立して検証できない。提案されているIronwoodアップグレードによりOrchardプールは封鎖され、この検証能力が回復する。
• 重要要素：
  1. 脆弱性が悪用されていない3つの理由：初期段階でトップクラスの暗号学者に発見されなかったこと。発見後、開発チームが迅速にOrchardプールを凍結し修正したこと。悪用された場合、攻撃者は通常即座に利益確定を行うが、そのような証拠は見つかっていないこと。
  2. 合法的な資金は回収可能：偽造が発生していなければ、すべての合法的なOrchard資金は回収可能。ユーザーは透明プールやSaplingプールへの資金移動により取引詳細が公開される点や、追加リスクが生じる点に注意が必要。
  3. 検証能力の回復：IronwoodアップグレードはOrchardプールを封鎖することで、新たな資金の流入を防ぎ、旧資金のみが転送メカニズムを通じて流出できるようにする。これにより、ユーザーがZEC供給量の安全性を独立して検証する能力が回復する。
  4. 継続的な監査結果：現在まで他の偽造脆弱性は発見されていない。監査には高度な専門家とAI支援分析が関与しており、類似の脆弱性が存在しないことへの信頼性が高まっている。

原文著者: Shielded Labs CEO Jason McGee、Zcash 創設者 Zooko Wilcox

編譯｜Odaily星球日報 秦曉峰（@QinXiaofeng 888 ）

編集者按: 北京時間6月5日、プライバシープロジェクトZcashの次世代プライバシープール「Orchard」に重大な偽造脆弱性が存在したことが報じられ、ZcashトークンZECは一時半減し、最低250ドル付近まで下落しました。約10日間の消化期間を経て、市場のパニック感情はやや和らぎ、ZEC価格も回復し、本日再び500ドル台に戻りました。（関連記事:「“無限印刷”の脆弱性が4年間潜伏、プライバシーコインZECが一日で半減」）

本日午前、Zcash創設者 Zooko Wilcox が再度長文を発表し、市場の関心事項に回答しました。同氏は、Orchardの脆弱性が以前に悪用された可能性は低く、正当なOrchard資金は回収可能であること、現在ユーザーはZcashの供給量が超過していないかを独自に検証できないが、IronwoodアップグレードによりOrchardプールが封鎖され、この検証能力が回復すること、継続的な審査では他の偽造脆弱性は見つかっていないものの、完全に確定するにはさらなる作業が必要であることなどを述べています。

以下は Zooko Wilcox の原文で、Odaily星球日報が編集・翻訳しました。お楽しみください～

————————————

最近のOrchard脆弱性は、Zcashの供給量とユーザー資金の安全性に関する重要な疑問を提起しました。議論には複数の異なる論点が混在しており、この脆弱性がユーザーに与える実際の影響を理解することを困難にしています。この記事では、これらの問題を分離し、それぞれがユーザーにとって何を意味するのかを説明します。

Orchard脆弱性は、4つの重要な疑問を提起します:

1. Orchard脆弱性は悪用されたのか？
2. 正当なOrchard資金は回収できるのか？
3. ユーザーはZcashの供給量が増発されていないことを検証できるのか？
4. 他に偽造脆弱性が存在しないことをどうやって知るのか？

Orchard脆弱性は悪用されたのか？

不明です。私たちは、悪用された可能性は低いと考えていますが、完全に排除することはできません。脆弱性が悪用されていないと考える理由は3つあります:

世界中の多くのトップクラスの暗号学者やセキュリティ研究者による長年にわたる継続的な審査にもかかわらず、この脆弱性は以前は発見されていませんでした。その最終的な発見は偶然ではありません。Shielded LabsのTaylor Hornby氏が、悪意のある攻撃者が先に手を打つ前に、この種のセキュリティ脆弱性を積極的に特定することを目的として発見しました。Taylor氏は、高度なAI支援セキュリティ研究技術と、他の人が見逃すような微妙な欠陥を見つけるために特別に構築されたカスタムツールを使用しました。これは、Zcashのコードベースに精通していない人にとってはさらに困難です。

脆弱性が発見されるとすぐに、Zcash開発者（Zcash Open Development Labsチームが主導）はマイニングプールと連携し、Orchardプールを一時的に凍結して修正プログラムを展開し、攻撃の機会窓を制限しました。

暗号通貨の脆弱性悪用は一般的であり、攻撃者は特に脆弱性が公開された後は、可能な限り迅速に現金化しようとします。攻撃者がこの脆弱性から利益を得るには、偽造されたZECを価値ある資産と交換する必要があり、これにより通常、ZECはターンスタイルメカニズムを通じてOrchardプールから流出します。修正前に脆弱性が悪用されていた場合、現在までに何らかの証拠が明らかになっているはずです。歴史的に、暗号通貨の脆弱性悪用は、数ヶ月あるいは数年もの間隠蔽する「四次元チェス」のような戦略ではなく、むしろ「強奪」的な操作であることが一般的です。

正当なOrchard資金は回収できるのか？

私たちは可能だと考えています。なぜなら、この脆弱性が悪用されたことはないと考えるからです。この判断が正しければ、すべての正当なOrchard資金は完全に回収可能です。

一方、Orchard内で実際に偽造が発生した場合、既存のターンスタイルメカニズムは、プールに正当に入金されたZECの額を超える総移行量を制限します。したがって、偽造資金が正当な資金よりも先に移行された場合、ユーザーは正当なOrchard資金の一部またはすべてを回収できなくなります。

私たちは、このシナリオは起こりそうにないと考えています。ただし、より慎重なユーザーにとっては、ZECをOrchardから移動させることをお勧めします。ただし、これを行う前に、以下の点を理解しておく必要があります:

• 資金を透過アドレス（tアドレス）に移動すると、送金額と送金時間の両方が公開され、これらの資金はそのtアドレスにも公開されます。
• 資金をOrchardプールからSaplingプールに移動すると、送金額と送金時間が公開されますが、tアドレスに移動する場合とは異なり、これらの資金が特定のアドレスや取引履歴に関連付けられることはありません。
• Saplingプールは2018年に実施されたTrusted Setup Ceremonyに依存しています。このTrusted Setupのセキュリティに依存することは、ユーザーが注意すべき追加リスクです。
• 私たちの知る限り、YWalletとZkoolは現在、広く使用されており、Saplingプールをサポートする唯一のセルフカストディアルZcashウォレットです。
• 新しいウォレットやカストディアルサービスへの資金移動は、ユーザーの過失、ソフトウェアの欠陥、カストディアンリスク、またはその他の予期せぬ問題を含む追加リスクをもたらします。

全体として、上記のリスクの程度は中程度であると考えています。現在の資金がシールドされたセルフカストディアルウォレットに保管されている場合、以前の偽造の可能性は低いと評価しているため、そこに保管しておくことは合理的な選択です。安全な方法で資金を別の場所に移動できる場合は、それも合理的かもしれません。ユーザーは自身の状況に基づいて異なる結論を導き出すことができます。

ユーザーはZcashの供給量が増発されていないことを検証できるのか？

現在はできません。この脆弱性が以前存在したため、ユーザーは現在のシールドプール内で流通しているZECが正しい量を超えていないことを独立して検証できませんでした。

しかし、私たちが以前の記事で指摘したように、Ironwoodアップグレードによりこの能力が回復します。以下の図がその理由を示しています。

提案されているネットワークアップグレードは、「これ以上の未知の偽造脆弱性は存在しない」という保証を追加し、Orchardプールを封鎖することでこの問題を解決します。新しい資金は入金できなくなり、プール内の資金も流通できなくなります。唯一残された経路は、既存のターンスタイルメカニズムを通じて出ていくことであり、これによりOrchardプールから移動するZECが正当に入金された量を超えないことが保証されます。

この変更により、Zcash供給量の健全性を検証する能力が回復します。

現在、Orchardプール内に偽造資金が存在する場合、それらはプール内で流通し続ける可能性があります。アップグレード後は、これが不可能になります。偽造が発生したかどうかに関わらず、ノードを実行するすべての人が、流通しているZECが正しい量を超えていないことを検証できます。

ユーザーは資金がOrchardから移動されるのを待つ必要も、攻撃者や他のユーザーの可能性のある行動を推測する必要もありません。プロトコル自体が検証可能な保証を提供します: 余分なZECはOrchard内で流通し続けて供給量を押し上げることはできません。

これは重要です。なぜなら、Zcashの長期的な信頼性は、ユーザーがその供給量の健全性を独自に検証できるかどうかにかかっているからです。Ironwoodは、ユーザーがプロトコルの供給制限が実施されているかを独立して検証する能力を回復します。

他に偽造脆弱性が存在しないことをどうやって知るのか？

現在は完全には確定できませんが、他の脆弱性は存在しないと考える理由があります。Shielded Labsおよび他の複数のチームは、Zcashプロトコルに他の偽造脆弱性がないか綿密に審査を続けています。これには、Anthropicの協力の下、Mythosが一時停止される直前に、未公開のMythos AIモデルを使用して追加の脆弱性を検索することも含まれます。私たちは、この審査とその発見に関する詳細を今後のブログ記事で共有する予定です。

これまでのところ、他の偽造脆弱性は発見されていません。今回の検索に関わる高度な専門知識、努力、そして高度なAI支援分析は、同様の脆弱性が未発見のまま残っている可能性は低いという確信を強めています。

さらに、私たちはTachyon Projectなどのプロジェクトと協力して、Zcashにこれ以上の偽造脆弱性が存在しないことに対する追加の保証を提供しています。これについても今後のブログ記事でさらに説明します。

結論

Orchard脆弱性は、4つの重要な疑問を提起しました: 脆弱性は悪用されたのか、正当なOrchard資金は回収できるのか、ユーザーはZcashの供給量が増発されていないことを検証できるのか、そして他に未発見の偽造脆弱性が存在するのか。

私たちは、以前に悪用された可能性は低いと考えており、したがって正当なOrchard資金は回収可能であり、現在のZcash供給量も安全です。複数の独立した研究者やチームによる継続的な審査に基づき、他の未発見の偽造脆弱性は存在しないという確信も深まっています。しかし、現時点ではユーザーはZcash供給量の安全性を検証できず、そもそも私たちの評価——あるいは他の誰かの評価——に依存すべきではありません。

提案されているネットワークアップグレードはこの問題を解決します。Orchardプールを封鎖することにより、ユーザーがZcash供給量の安全性を独立して検証する能力を回復します。ユーザーは偽造が発生したかどうかを判断する必要なく、プロトコルの供給制限が遵守されていることを検証できます。