Inilabas ng Zcash Foundation ang Zebra 4.5.3 at Zebra 5.0.0 matapos matagpuan at ayusin ng mga inhinyero ang isang kritikal na soundness bug sa Orchard Action circuit.
Sinabi ng foundation na inaktiba ng Zebra 4.5.3 ang isang emergency soft fork sa mainnet block height 3,363,426. Pansamantalang tinanggihan ng release ang mga transaksyon at blocks na naglalaman ng mga aksyon ng Orchard habang inihahanda ng mga inhinyero ang isang naitamang circuit.
Nag-live ang soft fork bandang 02:00 UTC noong Hunyo 2 matapos makaharap ang naunang pagtatangka ng koordinasyon ng mga isyu sa pag-deploy ng patch. Sinabi ng foundation na nagsimula ang pribadong koordinasyon sa mga minero at palitan noong Mayo 31 upang mabawasan ang posibilidad ng pagsasamantala bago ang pampublikong pagbubunyag.
Inaktiba ng Zebra 5.0.0 ang NU6.2 hard fork sa mainnet block height 3,364,600. Muling pinagana ng upgrade ang mga aksyon ng Orchard gamit ang isang naitamang circuit at iniruta ang mga patunay ng Orchard sa isang bagong verifying key para sa bawat circuit. Minarkahan din ng release ang ikalawang pag-upgrade ng protocol na nakatuon sa seguridad sa kasaysayan ng Zcash mula pa noong 2016.
Kailangan ang isang hard fork dahil ang pag-aayos ng zero-knowledge proof circuit ay nangangailangan ng isang bagong naka-pin na verifying key.
“Lubos naming hinihimok ang lahat ng node operator na mag-upgrade sa Zebra 5.0.0 sa lalong madaling panahon,” sabi ng Zcash Foundation.
Natuklasan ang bug noong Mayo 29 ng independiyenteng security researcher na si Taylor Hornby sa panahon ng isang protocol audit para sa Shielded Labs. Kinumpirma ng mga inhinyero ng ZODL na sina Daira-Emma Hopwood, Kris Nuttycombe at Jack Grigg ang isyu sa loob ng ilang oras at sinimulan ang paggawa sa isang pag-aayos.
Sinabi ng foundation na ang depekto ay maaaring nagpahintulot ng mga invalid na pagbabago sa estado sa loob ng Orchard at posibleng double spending sa loob ng pool na iyon. Sinabi rin nito na pinoprotektahan ng mekanismo ng turnstile ng Zcash ang kabuuang supply ng ZEC, at “Walang ebidensya ng paglikha ng hindi awtorisadong halaga.” Kasama sa apektadong code ang mga lumang halo2_gadgets, orchard at zcash_primitives releases, kasama ang mga bersyon ng zcashd 5.0.0 hanggang 6.12.3.
Ang Orchard ay ang pinakabagong shielded pool ng Zcash at isang pangunahing bahagi ng sistema ng privacy nito. Inilunsad ito kasama ng NU5 noong 2022 at gumagamit ng Halo 2, na nagtanggal sa pangangailangan para sa isang trusted setup. Ang disenyo na iyon ang gumawa sa Orchard na isang mahalagang bahagi ng kasalukuyang privacy roadmap ng Zcash.
Ang nauugnay na saklaw ng merkado ay kamakailan lamang nakatuon sa pagtaas ng paggamit ng Zcash shielded. Sinabi ng isang kamakailang ulat na humigit-kumulang 30% ng supply ng ZEC ang lumipat sa mga shielded pool, kung saan hawak ng Orchard ang 4.2 milyong ZEC at karamihan sa kamakailang paglago.
Sinabi ng foundation na hindi nasaktan ang privacy ng gumagamit sa panahon ng insidente. Patuloy din na gumana nang normal ang Sapling at transparent na transaksyon habang nanatiling naka-pause ang mga aksyon ng Orchard.
Ang mga operator ng node ngayon ay nahaharap sa pangunahing gawain ng pag-upgrade sa Zebra 5.0.0, sa halip na umasa sa mga mas lumang release. Ang mga operator na nanatili sa isang maling fork pagkatapos ng NU6.2 ay maaaring kailangang mag-resync mula sa simula o mag-restore mula sa isang backup na ginawa bago ang pag-activate.
