⚡ สรุปประเด็นสำคัญ
- พบช่องโหว่ร้ายแรงใน Orchard Pool ของ Zcash ที่เปิดทางให้ปลอมเหรียญ ZEC ได้ไม่จำกัดแบบตรวจจับไม่ได้ — ซ่อนอยู่ตั้งแต่ปี 2022
- ผู้ค้นพบคือวิศวกรความปลอดภัย Taylor Hornby โดยใช้ AI “Claude Opus” ของ Anthropic ช่วยตรวจสอบโค้ด
- ทีมพัฒนาออกแพตช์ฉุกเฉินภายในไม่กี่วัน แต่ด้วยคุณสมบัติความเป็นส่วนตัวของเหรียญ ไม่มีทางพิสูจน์ได้ว่าเคยถูกใช้โจมตีหรือไม่
- ราคา ZEC ดิ่งกว่า 31% และ Arthur Hayes เทขายเหรียญที่ถือทิ้งทันที
วงการคริปโตสะเทือนอีกครั้ง เมื่อ Shielded Labs เปิดเผยว่าพบช่องโหว่ระดับวิกฤตใน Zcash (ZEC) เหรียญ Privacy ชื่อดัง ที่หากถูกใช้โจมตี ผู้โจมตีจะสามารถเสกเหรียญปลอมขึ้นมาได้ไม่จำกัดจำนวนภายใน Orchard Pool โดยที่ระบบตรวจจับไม่ได้เลย — และที่น่าตกใจที่สุดคือ บั๊กนี้ซ่อนอยู่ในระบบมานานกว่า 4 ปี นับตั้งแต่ Orchard เปิดใช้งานเมื่อพฤษภาคม 2022
🤖 จุดพลิกประวัติศาสตร์: AI คือผู้พบบั๊กที่มนุษย์มองข้าม 4 ปี
ผู้ค้นพบคือ Taylor Hornby วิศวกรความปลอดภัยที่ตรวจสอบโค้ดเมื่อวันที่ 29 พฤษภาคม โดยใช้โมเดล AI “Claude Opus” ของ Anthropic ช่วยวิเคราะห์วงจรคริปโตกราฟี จนพบว่าองค์ประกอบหนึ่งของ Orchard Circuit ถูกกำหนดเงื่อนไขไม่รัดกุม (Under-constrained) ทำให้ค่าอินพุตปลอมสามารถผ่านการตรวจสอบ Elliptic Curve ได้
Hornby เขียน Exploit จริงและทดสอบในสภาพแวดล้อมจำลอง (Regtest) สำเร็จ — ผลคือสร้าง ZEC ปลอมได้ไม่จำกัดแบบไร้ร่องรอย ก่อนรายงานทีมพัฒนาให้ออกแพตช์ฉุกเฉินสำเร็จภายในวันที่ 1 มิถุนายน นับเป็นหนึ่งในกรณีแรกๆ ของโลกที่ AI ค้นพบช่องโหว่ระดับวิกฤตในบล็อกเชนใหญ่ ที่นักตรวจสอบมนุษย์พลาดมาหลายปี
🕳️ คำถามหลอน: แล้วที่ผ่านมา 4 ปี มีใครใช้ไปแล้วหรือยัง?
นี่คือส่วนที่น่ากังวลที่สุด — Shielded Labs ยอมรับตรงๆ ว่า “ไม่สามารถยืนยันได้ว่าบั๊กนี้เคยถูกใช้โจมตีก่อนหน้านี้หรือไม่” เพราะคุณสมบัติความเป็นส่วนตัวของ Orchard Pool ทำให้ไม่มีวิธีทางคริปโตกราฟีที่จะตรวจย้อนหลังได้ว่ามี ZEC ปลอมปะปนอยู่ในระบบหรือไม่ แม้ทีมงานจะประเมินว่า “โอกาสที่ถูกโจมตีจริงต่ำ” ก็ตาม
ความไม่แน่นอนนี้เองที่ทุบความเชื่อมั่น — ราคา ZEC ร่วงกว่า 31% ภายใน 24 ชั่วโมง (บางช่วงรายงานลึกถึง 38–50%) ขณะที่ Arthur Hayes ผู้ร่วมก่อตั้ง BitMEX ประกาศเทขาย ZEC ที่ถืออยู่ทิ้งทันทีหลังข่าวออก
🔐 บทเรียนใหญ่ของเหรียญ Privacy
เหตุการณ์นี้ตอกย้ำดาบสองคมของเหรียญความเป็นส่วนตัว: คุณสมบัติที่ปกป้องผู้ใช้ คือสิ่งเดียวกับที่ทำให้ตรวจสอบความเสียหายไม่ได้เมื่อเกิดเหตุ ก่อนหน้านี้เหรียญกลุ่ม Privacy ก็เผชิญแรงกดดันมาต่อเนื่อง ทั้งจากการถูกกระดานใหญ่ทยอยเพิกถอนอย่างกรณี Monero (XMR) และกฎระเบียบทั่วโลกที่เข้มขึ้น
ในอีกมุมหนึ่ง นี่คือหมุดหมายสำคัญของ “AI Security Audit” — เมื่อ AI พิสูจน์แล้วว่าตรวจเจอช่องโหว่ที่มนุษย์พลาดได้จริง คาดว่าโปรโตคอลใหญ่ทั่วทั้งวงการจะนำ AI เข้ามาเสริมการ Audit อย่างจริงจังนับจากนี้
📌 สรุป: จับตาอะไรต่อ
- Supply ของ ZEC — ชุมชนเสนอแนวทาง Turnstile/Audit เพื่อพิสูจน์ว่าจำนวนเหรียญยังถูกต้อง
- ความเชื่อมั่นเหรียญ Privacy ทั้งกลุ่ม — ZEC, XMR, DASH จะฟื้นหรือโดนเทต่อ
- เทรนด์ AI Audit — โปรเจกต์ไหนจะประกาศใช้ AI ตรวจโค้ดเป็นรายต่อไป
