Zcash脆弱性、理論上は無制限の偽造ZEC生成が可能だった＝Shielded Labs

Shielded Labs関係者が脆弱性に関する記事を投稿
関係組織ごとに説明の焦点に違い
関連ニュース

Shielded Labs関係者が脆弱性に関する記事を投稿

プライバシーコイン「ジーキャッシュ（Zcash）」の創設者であるズーコ・ウィルコックス＝オハーン（Zooko Wilcox-O’Hearn）氏が、先日修正されたシールドプール「オーチャード（Orchard）」の脆弱性に関する記事をジーキャッシュ・コミュニティフォーラム（Zcash Community Forum）に投稿し、自身のXアカウントで6月5日に共有した。

同氏は現在、ジーキャッシュの開発に関わる独立組織シールデッドラボ（Shielded Labs）の最高製品責任者（CPO）を務めている。公開された記事は、シールデッドラボに所属するズーコ・ウィルコックス氏とジェイソン・マギー（Jason McGee）氏、ならびに独立系セキュリティ研究者のテイラー・ホーンビー（Taylor Hornby）氏と共同で執筆されたものだ。

また、オーチャードは、2022年のネットワークアップグレード「NU5」で導入されたジーキャッシュ最新のシールドプール（匿名送金機能）だ。同機能は、現在流通するZECの相当部分を保持する同ネットワークの中核的なプライバシー機能となっている。

シールデッドラボが発表した今回の記事では、5月29日に発見されたオーチャードの脆弱性について、オーチャード内で検出不能な偽造ZECを、理論上は無制限に生成できる状態だったことが説明された。

なお、この脆弱性については、6月3日にジーキャッシュ財団（Zcash Foundation）が公式ブログを通して公表していた。同財団は当時、オーチャードのゼロ知識証明回路に重大な欠陥が見つかったものの、不正利用の証拠は確認されておらず、ZECの総供給量への影響も検出されていないと説明していた。

今回公開されたシールデッドラボの記事では、この脆弱性の技術的な深刻度について追加説明が行われた形だ。

同記事によると、シールデッドラボから監査業務を委託されていた独立系セキュリティ研究者ホーンビー氏が実際に攻撃コードを作成し、ローカル環境で脆弱性の再現に成功したという。同氏はテスト環境において、検出不能な偽造ZECを無制限に生成できることを確認したとのことだ。

また、シールデッドラボはこの脆弱性はオーチャード導入時の2022年5月から存在していたと説明している。また、オーチャードのプライバシー特性と脆弱性の性質上、修正前に実際に悪用されたかどうかを暗号学的に証明する手段は存在しないとのことだ。

一方で同社は、過去に悪用された可能性は低いとの見方も示した。その理由として、同脆弱性が長年にわたり暗号学研究者による監査を通過していたことや、今回の発見が最新のAI支援ツールを活用した集中的な調査によるものだったことを挙げている。

今回の確認を経て、同社はZEC供給量の完全性を誰でも検証できるようにする追加のネットワークアップグレード案を検討していることも明らかにした。同案では、新たなシールドプールの導入や、オーチャード内のコインにターンスティル会計を適用することなどが検討されているとのこと。この検討内容についての詳細は来週公表予定としている。

関係組織ごとに説明の焦点に違い

今回の脆弱性を巡っては、ジーキャッシュコミュニティの関係組織ごとに説明の焦点にも違いが見られる。

ジーキャッシュ財団やコア開発組織のジーキャッシュ・オープン・デベロップメント・ラボ（Zcash Open Development Lab：ZODL）は、脆弱性の修正が成功したことや悪用の証拠が確認されていないことを強調している。またジーキャッシュ財団は、ターンスティル機構によりZECの総供給量は保護されており、今回の脆弱性は総供給量のインフレではなく、オーチャード内の二重支払いを許し得るものだったと説明している。

これに対しシールデッドラボは、脆弱性の技術的な深刻さや、「悪用の証拠がないこと」と「悪用されていなかったことを証明できること」は別である点に焦点を当てている。また、今回発見された脆弱性の対策として追加のネットワークアップグレード案も検討している。

今回の事案では、脆弱性の発見から数日でソフトフォークおよびハードフォークによる修正対応が完了した。これを迅速な対応事例と捉えることもできる一方で、オーチャードのプライバシー特性によって過去の悪用有無を完全には検証できないという課題も浮き彫りになった。