زیکش (Zcash) طی روزهای اخیر یکی از سنگینترین سقوطهای تاریخ خود را تجربه کرد. قیمت این ارز دیجیتال حریم خصوصیمحور پس از افشای یک آسیبپذیری بحرانی در زیرساخت تراکنشهای محرمانه شبکه، در عرض ۴۸ ساعت نزدیک به ۵۰٪ سقوط کرد و از ۶۲۴ به ۳۰۹ دلار رسید و میلیاردها دلار از ارزش بازار آن از بین رفت.
در نگاه اول، افت سنگین قیمت چندان عجیب به نظر نمیرسد؛ چرا که خبر از کشف نقصی منتشر شد که در بدترین سناریو میتوانست امکان ایجاد نامحدود توکنهای جعلی ZEC را فراهم کند. اما نکته مهم اینجاست که توسعهدهندگان پیش از افشای عمومی، آسیبپذیری را برطرف کرده بودند و تاکنون نیز هیچ شواهدی مبنی بر سوءاستفاده از آن پیدا نشده است.
همین موضوع یک سوال مهم را مطرح میکند: اگر باگ رفع شده و هیچ نشانهای از حمله وجود ندارد، چرا بازار چنین واکنش شدیدی نشان داد؟ آیا سرمایهگذاران بیش از حد ترسیدهاند یا واقعاً اتفاقی رخ داده که میتواند آینده زیکش را تحت تاثیر قرار دهد؟ در این مطلب از میهن بلاکچین به این سوالات پاسخ میدهیم.
ماجرا از کجا آغاز شد؟
داستان از ۲۹ مه ۲۰۲۶ آغاز شد؛ زمانی که «تیلور هورنبی» (Taylor Hornby)، پژوهشگر امنیتی که از سوی شیلدد لبز (Shielded Labs) برای بررسی امنیت پروتکل زیکش استخدام شده بود، موفق شد یک آسیبپذیری بسیار حساس را در استخر حریم خصوصی «اورچارد» (Orchard) شناسایی کند.
اورچارد پیشرفتهترین سیستم تراکنشهای محرمانه زیکش محسوب میشود؛ بخشی از شبکه که با استفاده از فناوری اثبات دانش صفر هویت طرفین معامله و میزان دارایی منتقلشده را از دید عموم پنهان میکند. اما همین لایه پیچیده حریم خصوصی، محل پنهان شدن باگی بود که میتوانست تمام منطق عرضه زیکش را زیر سوال ببرد.
بررسیها نشان داد نقص کشفشده میتوانسته در شرایط خاص باعث شود شبکه برخی تراکنشهای نامعتبر را معتبر تشخیص دهد. در نتیجه، مهاجمان میتوانستند بدون شناسایی شدن، مقادیر نامحدودی ZEC جعلی تولید کند؛ وضعیتی که شیلدد لبز آن را به دسترسی مخفیانه به دستگاه چاپ دلار فدرال رزرو تشبیه کرده است.
باگی که چهار سال از چشم همه پنهان ماند
بخش نگرانکننده ماجرا فقط خود آسیبپذیری نبود؛ بلکه مدت زمانی بود که این نقص در شبکه حضور داشت.
طبق اطلاعات منتشرشده، این باگ از زمان راهاندازی اورچارد در مه ۲۰۲۲ وجود داشته و نزدیک به چهار سال از دید توسعهدهندگان، شرکتهای حسابرسی امنیتی و برخی از برجستهترین متخصصان رمزنگاری صنعت بلاکچین پنهان مانده است.
این مسئله اعتماد بازار را به شدت تحت تاثیر قرار داد و باعث شد بسیاری از فعالان این سوال را مطرح کنند که اگر چنین نقص مهمی توانسته چهار سال مخفی بماند، آیا ممکن است باگهای مشابه دیگری نیز در سایر پروژههای بلاکچینی وجود داشته باشند؟ آیا اصلا میتوان با اطمینان گفت که هیچکس تاکنون از این آسیبپذیری در شبکه زیکش استفاده نکرده؟
مشکل اینجاست که پاسخ قطعی برای این سوال وجود ندارد.
شیلدد لبز صراحتاً اعلام کرده به دلیل ماهیت محرمانه استخر اورچارد و ویژگیهای رمزنگاری آن، هیچ راه قطعی برای اثبات یا رد سوءاستفاده احتمالی از این آسیبپذیری پیش از کشف آن وجود ندارد.
توسعهدهندگان زیکش میگویند هیچ نشانهای از وجود حمله پیدا نکردهاند و احتمال سوءاستفاده را پایین میدانند، اما نمیتوانند با قطعیت ۱۰۰ درصدی این موضوع را ثابت کنند.
نقش هوش مصنوعی در کشف آسیبپذیری
اما شاید مهمترین بخش این داستان، نحوه کشف باگ باشد.
بر اساس گزارشهای منتشرشده، هورنبی در جریان تحقیقات خود از مدل «کلود اوپوس ۴.۸» (Claude Opus 4.8) متعلق به شرکت آنتروپیک (Anthropic) و مجموعهای از ابزارهای تحلیل مبتنی بر هوش مصنوعی استفاده کرده بود و با کمک این ابزارها موفق شد نقصی که سالها از دید انسانها پنهان مانده بود را شناسایی کند.
در ادامه این گزارشات نوشته شده که هورنبی حتی موفق شده با کمک این ابزارها یک نمونه عملی از حمله را در محیط آزمایشی توسعه دهد و مقادیر نامحدودی ZEC جعلی ایجاد کند.
موضوعی که بسیاری از کارشناسان امنیت سایبری آن را نقطه عطفی در صنعت بلاکچین میدانند. چراکه نشان میدهد هوش مصنوعی نهتنها میتواند به توسعه نرمافزار کمک کند، بلکه به تدریج به یکی از مهمترین ابزارهای کشف آسیبپذیریهای پیچیده تبدیل خواهد شد.
البته این موضوع یک نگرانی جدی نیز ایجاد میکند: اگر پژوهشگران امنیتی بتوانند با کمک AI چنین باگهایی را پیدا کنند، مجرمان سایبری نیز احتمالاً از ابزارهای مشابه برای یافتن آسیبپذیریهای ناشناخته استفاده خواهند کرد.
چرا قیمت زیکش پس از رفع باگ سقوط کرد؟
در نگاه اول شاید عجیب به نظر برسد که قیمت یک ارز دیجیتال پس از رفع موفقیتآمیز یک آسیبپذیری امنیتی سقوط کند، آن هم در شرایطی که پیش از آن گارد صعودی داشته و مدتها رشد کرده بود. اما شاید مهمترین نکته این باشد که بازار به خود باگ واکنش نشان نداد؛ بلکه به «ریسک ناشناخته» واکنش نشان داد.
زیکش و سایر ارزهای دیجیتال حریم خصوصیمحور بر پایه اعتماد به سازوکارهای رمزنگاری پیچیده ساخته شدهاند. هنگامی که مشخص میشود مهمترین لایه حریم خصوصی شبکه چهار سال با یک نقص تورمزا فعالیت کرده، سرمایهگذاران ناگهان مجبور میشوند همه فرضیات قبلی خود را دوباره ارزیابی کنند و دیدگاهشان در مورد این پروژه را تغییر دهند.
از نگاه بازار، مسئله اصلی این نبود که باگ رفع شده است یا خیر؛ مسئله این بود که هیچکس نمیتواند با قطعیت بگوید در چهار سال گذشته چه اتفاقی افتاده است. همین عدم قطعیت باعث شد بسیاری از معاملهگران پیش از روشن شدن ابعاد کامل ماجرا، دارایی خود را بفروشند و با فشار فروش گسترده، به ریزش ۵۰ درصدی قیمت زیکش دامن بزنند.
اما آیا واقعاً عرضه زیکش در خطر بود؟
پاسخ این سوال پیچیدهتر از چیزی است که در نگاه اول به نظر میرسد و با وجود نگرانیهای گسترده، همه کارشناسان با روایت فاجعهبار بازار موافق نیستند.
«حسیب قریشی» (Haseeb Qureshi)، شریک مدیریتی شرکت سرمایهگذاری دراگونفلای (Dragonfly)، معتقد است بسیاری از فعالان بازار ماهیت واقعی این آسیبپذیری را به درستی درک نکردهاند.
به گفته او، اگر این آسیبپذیری واقعاً مورد سوءاستفاده قرار گرفته بود، اثر آن احتمالاً به شکل تخلیه تدریجی استخرهای حریم خصوصی ظاهر میشد، نه نابودی کل عرضه زیکش.
به گفته قریشی، مهاجمی که موفق به ایجاد ZEC جعلی در استخرهای محرمانه میشد، نمیتوانست مستقیماً این داراییها را در صرافیهایی مانند بایننس یا کوینبیس به فروش برساند چراکه این توکنها ابتدا باید از محیط محرمانه خارج و به ZEC شفاف تبدیل میشدند.
اما در این مرحله یک مانع مهم وجود دارد؛ سازوکاری به نام «ترناستایل» (Turnstile) که ورود و خروج دارایی میان بخشهای مختلف شبکه را کنترل میکند.
در عمل اگر فردی تلاش میکرد مقدار بیشتری ZEC نسبت به سقف مجاز از استخرهای خصوصی خارج کند، این مکانیزم میتوانست جلوی آن را بگیرد. به همین دلیل قریشی معتقد است در بدترین سناریو، بیشترین آسیب متوجه کاربرانی میشد که دارایی خود را برای مدت طولانی در استخرهای خصوصی نگهداری کردهاند؛ نه معاملهگران صرافیها یا هولدرهای ZEC شفاف که قیمت بازار را تعیین میکنند.
دادهای که با وحشت بازار همخوانی ندارد
قریشی به نکته دیگری نیز اشاره کرده که میتواند دیدگاه متفاوتی نسبت به این بحران ارائه دهد.
بر اساس دادههای شبکه، تنها حدود ۱٪ از داراییهای موجود در استخرهای محرمانه از زمان افشای آسیبپذیری از حالت خصوصی خارج شدهاند. این در حالی است که حدود ۳۰٪ از کل عرضه زیکش در این استخرها نگهداری میشود.
به بیان دیگر، اکثریت قریب به اتفاق کاربرانی که بیشترین ریسک را متحمل میشوند، هنوز دارایی خود را جابهجا نکردهاند.
قریشی این رفتار را نوعی «بازار پیشبینی» طبیعی میداند. از نگاه او، اگر افرادی که مستقیماً در معرض خطر قرار دارند واقعاً باور داشتند این آسیبپذیری مورد سوءاستفاده قرار گرفته، باید شاهد خروج گسترده سرمایه از استخرهای خصوصی میبودیم؛ اتفاقی که تاکنون رخ نداده است.
همین موضوع باعث شده برخی تحلیلگران معتقد باشند سقوط اخیر بیش از آنکه ناشی از شواهد واقعی باشد، نتیجه ترس، ابهام و بدترین سناریوهای ذهنی معاملهگران است.
توسعهدهندگان چگونه بحران را مدیریت کردند؟
پس از کشف آسیبپذیری، هورنبی بلافاصله موضوع را به آزمایشگاه توسعه متنباز زیکش (Zcash Open Development Lab) گزارش کرد.
توسعهدهندگان نیز ابتدا یک سافتفورک اضطراری برای مسدود کردن مسیر حمله اجرا کردند و سپس ارتقای اصلی شبکه موسوم به NU6.2 را فعال کردند که به طور کامل نقص موجود در مدارهای رمزنگاری اورچارد را برطرف میکرد.
بنیاد زیکش نیز در ادامه اعلام کرد که در جریان بررسیها هیچ نشانهای از ایجاد غیرمجاز توکن، افزایش عرضه یا نقض حریم خصوصی کاربران مشاهده نشده است.
با این حال تیم توسعه برای افزایش شفافیت، در حال بررسی راهاندازی یک استخر محرمانه جدید و تقویت مکانیزمهای حسابرسی عرضه است تا کاربران بتوانند با اطمینان بیشتری سلامت موجودی شبکه را بررسی کنند.
آیا این بحران میتواند به نفع زیکش تمام شود؟
شاید عجیب به نظر برسد، اما برخی کارشناسان معتقدند این رویداد در بلندمدت حتی میتواند به تقویت امنیت زیکش منجر شود.
شیلدد لبز اعلام کرده همکاری خود با هورنبی را ادامه خواهد داد و پروژهای را برای «اعتبارسنجی رسمی» مدارهای رمزنگاری اورچارد آغاز میکند؛ روشی که با استفاده از اثباتهای ریاضی تلاش میکند نبود آسیبپذیریهای ناشناخته را تضمین کند.
قریشی نیز معتقد است همان هوش مصنوعی که این باگ را کشف کرد، میتواند راهحل نسل بعدی امنیت نرمافزار را نیز ارائه دهد. از نگاه او، اعتبارسنجی رسمی به تدریج به یکی از استانداردهای اصلی توسعه نرمافزارهای حساس و زیرساختهای مالی تبدیل خواهد شد.
در همین حال، در حالی که سقوط شدید قیمت ZEC بسیاری از سرمایهگذاران را نگران کرده، برخی چهرههای شناختهشده صنعت کریپتو نگاه متفاوتی به این اتفاق دارند.
«تایلر وینکلووس» (Tyler Winklevoss) و «کامرون وینکلووس» (Cameron Winklevoss)، بنیانگذاران صرافی جمینای، در روزهای اخیر از رویکرد جدید توسعهدهندگان زیکش برای افزایش امنیت شبکه حمایت کردهاند. آنها با اشاره به اظهارات حسیب قریشی معتقدند کشف این آسیبپذیری بیش از آنکه نشانه شکست زیکش باشد، فرصتی برای ارتقای زیرساختهای امنیتی این شبکه است.
کامرون وینکلووس در این رابطه اعلام کرده که «اعتبارسنجی رسمی» میتواند به راهکار استاندارد نسل بعدی نرمافزارهای مالی و بلاکچینی تبدیل شود. به گفته او، زیکش در ارتقای بعدی شبکه قصد دارد این رویکرد را به کار بگیرد؛ اقدامی که میتواند احتمال وقوع باگهای تورمزا یا اصطلاحاً «چاپ پول» در استخرهای محرمانه را عملاً از بین ببرد.
توسعهدهندگان همچنین در حال بررسی راهاندازی یک استخر محرمانه جدید به همراه نسخه ارتقایافته مکانیزم Turnstile هستند. هدف از این تغییرات، انتقال داراییها از استخر فعلی اورچارد و ایجاد روشی شفاف برای اثبات این موضوع است که هیچ ZEC اضافهای در شبکه ایجاد نشده است.
البته باید توجه داشت که برادران وینکلووس و همچنین شرکت دراگونفلای در زیکش سرمایهگذاری کردهاند و طبیعتاً دیدگاه آنها را باید در همین چارچوب نیز ارزیابی کرد. با این حال، حمایت چهرههای شناختهشده صنعت از برنامههای امنیتی جدید زیکش نشان میدهد بخشی از بازار همچنان به بازسازی اعتماد و احیای جایگاه این پروژه در بلندمدت امیدوار است.
جمعبندی
سقوط ۴۰ درصدی زیکش صرفاً واکنشی به یک باگ امنیتی نبود؛ بلکه واکنشی به بحرانی از جنس اعتماد بود. بازاری که سالها امنیت و محرمانگی زیکش را یکی از مهمترین مزیتهای آن میدانست، ناگهان با این واقعیت مواجه شد که یک آسیبپذیری بالقوه فاجعهبار به مدت چهار سال در قلب سیستم پنهان بوده است.
با این حال، آنچه تاکنون میدانیم با بدترین سناریوهای مطرحشده در بازار فاصله دارد. هیچ شواهدی از سوءاستفاده از این نقص پیدا نشده، عرضه کل زیکش دستنخورده باقی مانده و حتی بسیاری از کاربرانی که بیشترین ریسک را متحمل میشوند، هنوز واکنش شدیدی به این خبر نشان ندادهاند.
در نهایت، ریزش اخیر بیش از آنکه نتیجه یک حمله واقعی باشد، حاصل ترکیب ترس، ابهام و عدم قطعیت بود؛ سه عاملی که در بازارهای مالی اغلب به اندازه خود واقعیت قدرت دارند.
