Полный разбор схемы в основной статье. Здесь конкретно про Zcash: уязвимость zcash orchard в защищённом пуле просуществовала с мая 2022 года, а нашёл её не аудитор и не команда проекта. Нашёл ИИ. За несколько часов.
Исследователь безопасности запустил модель Claude на аудит кода Orchard. Результат, который человеческие аудиты пропускали 3,5 года: критическая уязвимость позволяла создавать неограниченное количество ZEC незаметно для сети. Три с половиной года в продакшне.
Что обнаружили в пуле Orchard: уязвимость zcash orchard
Баг касался механизма верификации в защищённом пуле. При определённых условиях злоумышленник мог генерировать валидные доказательства транзакций без фактического наличия средств. То есть генерировать ZEC из воздуха. Без следов в блокчейне: именно так устроена приватная архитектура Zcash.
Команда выпустила экстренный патч. Уязвимость закрыта на уровне протокола. Но дальше начинается часть, которую починить нельзя.
Почему «починили» не равно «всё чисто»
Архитектура приватности Zcash работает против самих разработчиков. Транзакции в Orchard скрыты по умолчанию, это фича. Та же фича означает: криптографически доказать отсутствие несанкционированной эмиссии за 3,5 года работы пула невозможно. Команда заявляет «эмиссия не пострадала». Это заявление невозможно ни подтвердить, ни опровергнуть на уровне сети.
По существу. Если злоумышленник за этот период напечатал, условно, 5% дополнительных ZEC и вывел их через миксер или приватный пул, разница в общем supply ничем не отличается от легитимной эмиссии.
Таймлайн уязвимости Zcash Orchard: май 2022 активация пула → раскрытие бага ИИ-моделью → экстренный
Артур Хейс отреагировал немедленно: полный выход из позиции по ZEC. Цена ушла с $600 до $312, минус 48% за короткий период. Это не паника розницы, это позиция держателя, который оценивает риск количественно: если нельзя доказать чистоту эмиссии, актив несёт неквантифицируемую премию за риск, которую рынок переоценивает вниз.
Что меняется в модели безопасности приватных монет
Главный вопрос инцидента не про сам баг. Сколько похожих уязвимостей сейчас сидит в других приватных протоколах? Человеческие аудиты не нашли это за 3,5 года. ИИ-модель нашла за часы.
| Параметр | Аудит людьми | Аудит ИИ |
|---|---|---|
| Время поиска бага Orchard | 3,5 года, не найден | часы |
| Стоимость прохода | десятки тыс. $ | сотни $ |
| Контекстуальные допущения | да, делает | нет |
| Покрытие кода | выборочное | полное |
Проблема не в том, что Zcash небезопасен. Проблема системная: максимальная приватность для пользователей означает минимальную верифицируемость для всех остальных, включая саму команду. Патчем это не закрывается.
В контексте того, как ИИ-агенты меняют структуру крипторисков, кейс показывает обе стороны: угрозы обнаруживаются быстрее, но и эксплуатируются потенциально с той же скоростью.
Где проверить и что зафиксировать
Для держателей ZEC: проверить версию кошелька. Обновление сети закрывает уязвимость на уровне протокола, но только если используется патченный клиент. Старые версии могут не поддерживать новый консенсус и отвалятся от сети при первой же транзакции.
Официальный статус сети, хеш обновления и список совместимых версий публикуются в официальном репозитории Zcash и в блоге команды ECC. Там же минимальные требования для совместимости после патча.
Если позиция держится через кастодиальный сервис: уточнить у биржи, применила ли она обновление. Большинство крупных площадок временно приостанавливали ввод и вывод ZEC именно для этого. Подробнее про проверку кастодиальных рисков в разборе взлома кошелька Polymarket.
Я не аудитор и не делаю инвестрекомендаций. Решения по ZEC и любым приватным монетам принимайте сами, опираясь на собственную оценку риска.
Имеет ли смысл держать ZEC после патча?
Это вопрос риск-аппетита, а не безопасности. Патч закрывает конкретный вектор, но премия за неверифицируемость supply осталась. Рынок переоценил её падением на 48%. Если допускаете возможность такой же переоценки в будущем, доля ZEC в портфеле должна это учитывать.
Затрагивает ли уязвимость прозрачный пул Zcash?
Нет, баг локализован в Orchard.
Можно ли провести независимый аудит ИИ-моделью самому?
Технически да: исходники Zcash открыты, доступ к моделям уровня Claude или GPT через API стоит десятки долларов. Практически результат зависит от качества промптов и понимания zk-схем. Без бэкграунда в криптографии разбор вывода модели даст мало пользы: ложноположительных срабатываний больше, чем реальных находок.
Открой клиент Zcash и сверь номер версии со списком совместимых после патча: всё остальное про ZEC решается после этого шага.