ジーキャッシュ、無限複製可能な脆弱性発覚で30%急落

プライバシーコインのジーキャッシュ（ZEC）で、匿名取引プールから偽トークンを無制限に生成できる重大なセキュリティー上の欠陥が見つかった。最新の人工知能（AI）ツールを活用したホワイトハットハッカーが発見したもので、報道を受けて価格は30%超下落した。

ジーキャッシュの独立支援組織シールドラボは6月4日、Xで「セキュリティーエンジニアのテイラー・ホーンビーが、ジーキャッシュの匿名取引プール『オーチャード』で深刻な脆弱性を発見した」と公表した。

ジーキャッシュのエコシステムに関わるホーンビーは4月からプロトコルの検証を進めていた。5月29日にはアンソロピックが公開した最新AIモデル「Opus 4.8」の支援を受け、オーチャード回路の欠陥を突き止めた。

オーチャードは、ゼロ知識証明（ZK）技術を通じて利用者に完全な匿名性を確保しながら、ZECの送受信を可能にする匿名取引プールだ。調査の結果、オーチャード回路内の特定要素で制約条件が緩く設定されている不具合が判明した。楕円曲線の乗算演算に任意の虚偽入力を加えても、システムが正常な取引として承認してしまう致命的な欠陥だった。

シールドラボは、脆弱性は実際に悪用可能な状態だったと説明した。ホーンビーはOpus 4.8の支援を受け、ローカルのテスト環境で完全な匿名性を保ったまま偽のZECを無制限に生成するエクスプロイトを作成し、検証したという。この脆弱性は6月1日の緊急パッチで修正した。ただ、オーチャードが有効化された2022年5月以降、無防備な状態でさらされていたことが分かった。

もっとも、シールドラボは過度な懸念を戒めた。世界最高水準の暗号学者らが監視してきたプロトコルで長期間見つからなかった以上、ハッカーが先に認識していた可能性は低いと指摘した。そのうえで今回の発見について、攻撃者に先んじて脆弱性を見つけ出すため、最新のAIツールと高度なプロンプトを活用したホワイトハッカーの勝利だと評価した。

市場は敏感に反応した。シールドラボの発表直後からZEC価格は5時間で下げ始め、24時間前比で31.4%安の409.64ドルを付けた。

シールドラボは市場の信認回復に向け、ジーキャッシュの総供給量の完全性を誰でも検証できるようにするネットワークのアップグレードを提案した。

シールドラボ関係者は「極めて深刻な脆弱性だっただけに、利用者に透明性をもって公開することが重要だと判断した」と述べた。重大な欠陥が見つかったのは遺憾だとしつつ、ジーキャッシュのエコシステムはこれを乗り越え、正常化するとの認識を示した。