بنیاد زیکش (Zcash Foundation) نسخههای Zebra 4.5.3 و Zebra 5.0.0 را پس از آنکه مهندسان یک باگ حیاتی صحت (soundness bug) را در مدار عملیات ارکارد (Orchard Action circuit) کشف و رفع کردند، منتشر کرد.
این بنیاد اعلام کرد Zebra 4.5.3 یک سافت فورک اضطراری را در بلاک شماره 3,363,426 شبکه اصلی فعال کرد. این نسخه موقتاً تراکنشها و بلاکهای حاوی عملیات ارکارد را رد میکرد، در حالی که مهندسان در حال آمادهسازی یک مدار اصلاحشده بودند.
سافت فورک در حدود ساعت 02:00 UTC در 2 ژوئن فعال شد، پس از آنکه یک تلاش هماهنگی قبلی با مشکلات استقرار پچ مواجه شد. بنیاد اعلام کرد هماهنگی خصوصی با ماینرها و صرافیها در 31 می آغاز شد تا شانس بهرهبرداری پیش از افشای عمومی کاهش یابد.
Zebra 5.0.0 هارد فورک NU6.2 را در بلاک شماره 3,364,600 شبکه اصلی فعال کرد. این ارتقاء عملیات ارکارد را با یک مدار اصلاحشده دوباره فعال کرد و اثباتهای ارکارد را به یک کلید تأییدکننده (verifying key) جدید برای هر مدار هدایت کرد. این نسخه همچنین دومین ارتقاء پروتکل با محوریت امنیت در تاریخ زیکش از سال 2016 را رقم زد.
یک هارد فورک مورد نیاز بود زیرا رفع باگ مدار اثبات دانش صفر (zero-knowledge proof circuit) به یک کلید تأییدکننده پینشده (pinned verifying key) جدید نیاز دارد.
بنیاد زیکش اعلام کرد: «ما قویاً از همه اپراتورهای نود میخواهیم که در اسرع وقت به Zebra 5.0.0 ارتقاء دهند.»
این باگ در 29 می توسط محقق امنیتی مستقل، تیلور هورنبی (Taylor Hornby)، در حین ممیزی پروتکل برای Shielded Labs کشف شد. مهندسان ZODL، دایرا-اما هاپوود (Daira-Emma Hopwood)، کریس ناتیکام (Kris Nuttycombe) و جک گریگ (Jack Grigg) این مشکل را ظرف چند ساعت تأیید کرده و کار بر روی رفع آن را آغاز کردند.
این بنیاد اعلام کرد که این نقص میتوانست تغییرات وضعیت نامعتبر در داخل ارکارد و دوبار خرج کردن (double spending) احتمالی در آن استخر را امکانپذیر سازد. همچنین اعلام کرد که مکانیزم گردان (turnstile mechanism) زیکش از کل عرضه ZEC محافظت کرده است و «هیچ شواهدی از ایجاد ارزش غیرمجاز وجود ندارد.» کدهای آسیبدیده شامل نسخههای قدیمیتر halo2_gadgets، orchard و zcash_primitives، به علاوه نسخههای zcashd از 5.0.0 تا 6.12.3 بودند.
ارکارد جدیدترین استخر محافظتشده (shielded pool) زیکش و بخش اصلی سیستم حریم خصوصی آن است. این سیستم با NU5 در سال 2022 راهاندازی شد و از Halo 2 استفاده میکند که نیاز به راهاندازی مورد اعتماد (trusted setup) را حذف کرد. این طراحی، ارکارد را به بخش کلیدی نقشه راه فعلی حریم خصوصی زیکش تبدیل کرد.
پوششهای اخیر بازار بر افزایش استفاده از زیکش محافظتشده متمرکز شده است. یک گزارش اخیر نشان داد که حدود 30 درصد از عرضه ZEC به استخرهای محافظتشده منتقل شده است، با ارکارد که 4.2 میلیون ZEC و بیشتر رشد اخیر را در اختیار دارد.
این بنیاد اعلام کرد که حریم خصوصی کاربران در طول این حادثه آسیب ندیده است. تراکنشهای سَپلینگ و شفاف نیز در حالی که عملیات ارکارد متوقف مانده بود، به طور عادی به کار خود ادامه دادند.
اپراتورهای نود اکنون وظیفه اصلی ارتقاء به Zebra 5.0.0 را بر عهده دارند، به جای اتکا به نسخههای قدیمیتر. اپراتورهایی که پس از NU6.2 روی یک فورک اشتباه باقی ماندهاند، ممکن است نیاز به همگامسازی مجدد از ابتدا یا بازیابی از یک پشتیبان (backup) که پیش از فعالسازی انجام شده باشد، داشته باشند.
