29 мая 2026 года исследователь безопасности Taylor Hornby обнаружил критическую ошибку в протоколе Zcash. Ошибка находилась в приватной части блокчейна под названием Orchard. Если бы её успели использовать злоумышленники, они могли бы создавать поддельные монеты ZEC буквально из воздуха. Команда Zcash отреагировала оперативно: 2 июня временно ограничила работу Orchard, а 3 июня выпустила исправление. По данным Zcash Foundation, средства пользователей не пострадали, а признаков несанкционированного выпуска ZEC обнаружено не было.
Что такое Orchard и почему это важно
Zcash — это блокчейн с особым акцентом на приватность. Большинство криптовалют (например, Bitcoin) показывают все транзакции публично: кто, кому, сколько. В Zcash можно делать переводы так, чтобы детали были скрыты даже от самой сети.
Orchard — это последняя и самая современная система приватных переводов в Zcash. Она использует технологию zk-доказательств (доказательств с нулевым разглашением). Это работает примерно так: представьте, что вы хотите доказать кому-то, что знаете секретный пароль, не называя сам пароль. В Zcash отправитель создаёт математическое доказательство того, что монеты настоящие, он имеет право их тратить, и он не тратит одни и те же монеты дважды. Сеть проверяет это доказательство, не видя самих деталей перевода.
Что пошло не так
Ошибка была в том, как Orchard проверял скрытые данные внутри доказательства. Один из элементов этой проверки оказался недостаточно строгим: внутри математического доказательства можно было подставить неправильные данные, и система всё равно принимала такой перевод как корректный.
Проще говоря: замок был настоящим, ключ тоже выглядел настоящим — но при определённом способе подбора ключ мог открыть замок, не будучи оригинальным.
В тестовой среде исследователь Taylor Hornby показал, что через эту ошибку можно создавать поддельные ZEC внутри Orchard. В основной сети атака не была применена.
Как команда отреагировала
1️⃣ 29 мая 2026 — исследователь сообщил об уязвимости команде Zcash по закрытым каналам.
2️⃣ 2 июня 2026 — разработчики временно ограничили операции Orchard, чтобы устранить возможность использования ошибки. Другие виды переводов Zcash продолжали работать в штатном режиме: как обычные открытые переводы, так и другие форматы приватных транзакций вне Orchard.
3️⃣ 3 июня 2026 — через плановое обновление сети NU6.2 Orchard был снова включён, уже с исправленной проверкой.
Заключение
Инцидент с Zcash Orchard выделяется на фоне большинства расследований: это история о том, что пошло правильно. Уязвимость была обнаружена независимым исследователем и закрыта до того, как кто-либо успел ею воспользоваться. Ни монеты пользователей, ни их приватность не пострадали.
Тем не менее сам факт существования такой ошибки напоминает: сложные криптографические системы требуют постоянного аудита, даже если их код был тщательно проверен при запуске. Zcash Foundation сообщила, что признаков лишнего выпуска ZEC в сети обнаружено не было.
