Zcash（ジーキャッシュ）創設者のズーコ・ウィルコックス氏らは5日、ジーキャッシュのプライバシー機能を支えるシールドプール「オーチャード」で見つかった無制限の偽造ZECZECを作成できる重大脆弱性について、緊急修正が完了したことを明らかにした。

オーチャード有効化から4年超、気付かれずに残存

今回の問題を発見したのは、セキュリティ研究者のテイラー・ホーンビー氏だ。同氏は5月29日にオーチャード回路の脆弱性を発見し、ジーキャッシュ・オープン・ディベロップメント・ラボ（ZODL）に報告。ZODLはエコシステム関係者と連携して緊急対応を進め、6月2日までに修正作業を完了させたという。

オーチャード回路では、本来は正しい入力のみを通過させるべきチェックを不正な入力でもくぐり抜けられる状態になっていた。ホーンビー氏は、アンソロピックのAIモデル「オーパス4.8」を活用してエクスプロイトを作成。ローカルの検証環境で、検知不能な形で無制限の偽造ZECを生成できることを確認したという。

同氏の作業ログによると、脆弱性は2022年5月のオーチャード有効化から2026年6月1日の緊急修正まで、4年1日10時間にわたり存在し続けていたことが示されている。

悪用可能性は低いとの見方も、今後は供給量検証が課題に

ズーコ氏が所属する開発支援組織シールデッド・ラボは、この脆弱性が偽造ZECの生成に悪用された可能性は低いとの見解を示している。脆弱性が長年にわたり多くの専門家の検証をすり抜けていたことや、発見後の迅速な対応をその理由に挙げている。

ただし、同社はこの見方だけで安全性を判断すべきではないとも説明。ジーキャッシュの供給量の完全性を誰でも検証できるよう、今後は新たなシールドプールの導入やオーチャードから移動するコインにターンスタイル会計を適用するネットワークアップグレード案を検討しているという。

一方、ZEC価格は脆弱性を巡る不透明感を受けて下落が続いている。6月に入って一時約640ドルまで上昇していたものの、その後急落。執筆時点では400ドルを割り込んでいる。脆弱性は修正済みとはいえ、悲観的な市場心理を拭いきれていない状況だ。

プライバシー性を強みとするジーキャッシュにとって、今回の問題は技術的な修正に加え、供給量の信頼性をどう示すかも課題となる。供給量の完全性を検証できる仕組みをどこまで具体化できるかに注目したい。

関連：ジーキャッシュ開発ラボZODL、約40億円調達──ZECプライバシー普及へ業界大手が参画
関連：元ETH強気派のバンクレス創業者、売却益を5銘柄に──VVV・NEAR・ZEC・HYPE・LIT