چرا قیمت زی‌کش ۴۰٪ سقوط کرد؟ پشت پرده باگ چهارساله‌ای که بازار را به وحشت انداخت

زی‌کش (Zcash) طی روزهای اخیر یکی از سنگین‌ترین سقوط‌های تاریخ خود را تجربه کرد. قیمت این حریم خصوصی‌محور پس از افشای یک آسیب‌پذیری بحرانی در زیرساخت تراکنش‌های محرمانه شبکه، در عرض ۴۸ ساعت نزدیک به ۵۰٪ سقوط کرد و از ۶۲۴ به ۳۰۹ دلار رسید و میلیاردها دلار از ارزش بازار آن از بین رفت. در نگاه اول، افت سنگین قیمت چندان عجیب به نظر نمی‌رسد؛ چرا که خبر از کشف نقصی منتشر شد که در بدترین سناریو می‌توانست امکان ایجاد نامحدود توکن‌های جعلی ZEC را فراهم کند. اما نکته مهم اینجاست که توسعه‌دهندگان پیش از افشای عمومی، آسیب‌پذیری را برطرف کرده بودند و تاکنون نیز هیچ شواهدی مبنی بر سوءاستفاده از آن پیدا نشده است. همین موضوع یک سوال مهم را مطرح می‌کند: اگر باگ رفع شده و هیچ نشانه‌ای از حمله وجود ندارد، چرا بازار چنین واکنش شدیدی نشان داد؟ آیا سرمایه‌گذاران بیش از حد ترسیده‌اند یا واقعاً اتفاقی رخ داده که می‌تواند آینده زی‌کش را تحت تاثیر قرار دهد؟ در این مطلب از به این سوالات پاسخ می‌دهیم. زی‌کش یک باگ بحرانی را خنثی کرد؛ ماجرای توقف شبکه چه بود؟ ماجرا از کجا آغاز شد؟ داستان از ۲۹ مه ۲۰۲۶ آغاز شد؛ زمانی که «تیلور هورنبی» (Taylor Hornby)، پژوهشگر امنیتی که از سوی شیلدد لبز (Shielded Labs) برای بررسی امنیت پروتکل زی‌کش استخدام شده بود، موفق شد یک آسیب‌پذیری بسیار حساس را در استخر حریم خصوصی «اورچارد» (Orchard) شناسایی کند. اورچارد پیشرفته‌ترین سیستم تراکنش‌های محرمانه زی‌کش محسوب می‌شود؛ بخشی از شبکه که با استفاده از فناوری اثبات دانش صفر هویت طرفین معامله و میزان دارایی منتقل‌شده را از دید عموم پنهان می‌کند. اما همین لایه پیچیده حریم خصوصی، محل پنهان شدن باگی بود که می‌توانست تمام منطق عرضه زی‌کش را زیر سوال ببرد. بررسی‌ها نشان داد نقص کشف‌شده می‌توانسته در شرایط خاص باعث شود شبکه برخی تراکنش‌های نامعتبر را معتبر تشخیص دهد. در نتیجه، مهاجمان می‌توانستند بدون شناسایی شدن، مقادیر نامحدودی ZEC جعلی تولید کند؛ وضعیتی که شیلدد لبز آن را به دسترسی مخفیانه به دستگاه چاپ دلار فدرال رزرو تشبیه کرده است. باگی که چهار سال از چشم همه پنهان ماند بخش نگران‌کننده ماجرا فقط خود آسیب‌پذیری نبود؛ بلکه مدت زمانی بود که این نقص در شبکه حضور داشت. طبق اطلاعات منتشرشده، این باگ از زمان راه‌اندازی اورچارد در مه ۲۰۲۲ وجود داشته و نزدیک به چهار سال از دید توسعه‌دهندگان، شرکت‌های حسابرسی امنیتی و برخی از برجسته‌ترین متخصصان رمزنگاری صنعت بلاکچین پنهان مانده است. این مسئله اعتماد بازار را به شدت تحت تاثیر قرار داد و باعث شد بسیاری از فعالان این سوال را مطرح کنند که اگر چنین نقص مهمی توانسته چهار سال مخفی بماند، آیا ممکن است باگ‌های مشابه دیگری نیز در سایر پروژه‌های بلاکچینی وجود داشته باشند؟ آیا اصلا می‌توان با اطمینان گفت که هیچ‌کس تاکنون از این آسیب‌پذیری در شبکه زی‌کش استفاده نکرده؟ مشکل اینجاست که پاسخ قطعی برای این سوال وجود ندارد. شیلدد لبز صراحتاً اعلام کرده به دلیل ماهیت محرمانه استخر اورچارد و ویژگی‌های رمزنگاری آن، هیچ راه قطعی برای اثبات یا رد سوءاستفاده احتمالی از این آسیب‌پذیری پیش از کشف آن وجود ندارد. توسعه‌دهندگان زی‌کش می‌گویند هیچ نشانه‌ای از وجود حمله پیدا نکرده‌اند و احتمال سوءاستفاده را پایین می‌دانند، اما نمی‌توانند با قطعیت ۱۰۰ درصدی این موضوع را ثابت کنند. نقش هوش مصنوعی در کشف آسیب‌پذیری اما شاید مهم‌ترین بخش این داستان، نحوه کشف باگ باشد. بر اساس گزارش‌های منتشرشده، هورنبی در جریان تحقیقات خود از مدل «کلود اوپوس ۴.۸» (Claude Opus 4.8) متعلق به شرکت آنتروپیک (Anthropic) و مجموعه‌ای از ابزارهای تحلیل مبتنی بر هوش مصنوعی استفاده کرده بود و با کمک این ابزارها موفق شد نقصی که سال‌ها از دید انسان‌ها پنهان مانده بود را شناسایی کند. در ادامه این گزارشات نوشته شده که هورنبی حتی موفق شده با کمک این ابزارها یک نمونه عملی از حمله را در محیط آزمایشی توسعه دهد و مقادیر نامحدودی ZEC جعلی ایجاد کند. موضوعی که بسیاری از کارشناسان امنیت سایبری آن را نقطه عطفی در صنعت بلاکچین می‌دانند. چراکه نشان می‌دهد هوش مصنوعی نه‌تنها می‌تواند به توسعه نرم‌افزار کمک کند، بلکه به تدریج به یکی از مهم‌ترین ابزارهای کشف آسیب‌پذیری‌های پیچیده تبدیل خواهد شد. البته این موضوع یک نگرانی جدی نیز ایجاد می‌کند: اگر پژوهشگران امنیتی بتوانند با کمک AI چنین باگ‌هایی را پیدا کنند، مجرمان سایبری نیز احتمالاً از ابزارهای مشابه برای یافتن آسیب‌پذیری‌های ناشناخته استفاده خواهند کرد. چرا قیمت زی‌کش پس از رفع باگ سقوط کرد؟ در نگاه اول شاید عجیب به نظر برسد که قیمت یک پس از رفع موفقیت‌آمیز یک آسیب‌پذیری امنیتی سقوط کند، آن هم در شرایطی که پیش از آن گارد صعودی داشته و مدت‌ها رشد کرده بود. اما شاید مهم‌ترین نکته این باشد که بازار به خود باگ واکنش نشان نداد؛ بلکه به «ریسک ناشناخته» واکنش نشان داد. زی‌کش و سایر ارزهای دیجیتال حریم خصوصی‌محور بر پایه اعتماد به سازوکارهای رمزنگاری پیچیده ساخته شده‌اند. هنگامی که مشخص می‌شود مهم‌ترین لایه حریم خصوصی شبکه چهار سال با یک نقص تورم‌زا فعالیت کرده، سرمایه‌گذاران ناگهان مجبور می‌شوند همه فرضیات قبلی خود را دوباره ارزیابی کنند و دیدگاه‌شان در مورد این پروژه را تغییر دهند. از نگاه بازار، مسئله اصلی این نبود که باگ رفع شده است یا خیر؛ مسئله این بود که هیچ‌کس نمی‌تواند با قطعیت بگوید در چهار سال گذشته چه اتفاقی افتاده است. همین عدم قطعیت باعث شد بسیاری از معامله‌گران پیش از روشن شدن ابعاد کامل ماجرا، دارایی خود را بفروشند و با فشار فروش گسترده، به ریزش ۵۰ درصدی قیمت زی‌کش دامن بزنند. اما آیا واقعاً عرضه زی‌کش در خطر بود؟ پاسخ این سوال پیچیده‌تر از چیزی است که در نگاه اول به نظر می‌رسد و با وجود نگرانی‌های گسترده، همه کارشناسان با روایت فاجعه‌بار بازار موافق نیستند. «حسیب قریشی» (Haseeb Qureshi)، شریک مدیریتی شرکت سرمایه‌گذاری دراگون‌فلای (Dragonfly)، معتقد است بسیاری از فعالان بازار ماهیت واقعی این آسیب‌پذیری را به درستی درک نکرده‌اند. به گفته او، اگر این آسیب‌پذیری واقعاً مورد سوءاستفاده قرار گرفته بود، اثر آن احتمالاً به شکل تخلیه تدریجی استخرهای حریم خصوصی ظاهر می‌شد، نه نابودی کل عرضه زی‌کش. به گفته قریشی، مهاجمی که موفق به ایجاد ZEC جعلی در استخرهای محرمانه می‌شد، نمی‌توانست مستقیماً این دارایی‌ها را در صرافی‌هایی مانند بایننس یا کوین‌بیس به فروش برساند چراکه این توکن‌ها ابتدا باید از محیط محرمانه خارج و به ZEC شفاف تبدیل می‌شدند. اما در این مرحله یک مانع مهم وجود دارد؛ سازوکاری به نام «ترن‌استایل» (Turnstile) که ورود و خروج دارایی میان بخش‌های مختلف شبکه را کنترل می‌کند. در عمل اگر فردی تلاش می‌کرد مقدار بیشتری ZEC نسبت به سقف مجاز از استخرهای خصوصی خارج کند، این مکانیزم می‌توانست جلوی آن را بگیرد. به همین دلیل قریشی معتقد است در بدترین سناریو، بیشترین آسیب متوجه کاربرانی می‌شد که دارایی خود را برای مدت طولانی در استخرهای خصوصی نگهداری کرده‌اند؛ نه معامله‌گران صرافی‌ها یا هولدرهای ZEC شفاف که قیمت بازار را تعیین می‌کنند. داده‌ای که با وحشت بازار همخوانی ندارد قریشی به نکته دیگری نیز اشاره کرده که می‌تواند دیدگاه متفاوتی نسبت به این بحران ارائه دهد. بر اساس داده‌های شبکه، تنها حدود ۱٪ از دارایی‌های موجود در استخرهای محرمانه از زمان افشای آسیب‌پذیری از حالت خصوصی خارج شده‌اند. این در حالی است که حدود ۳۰٪ از کل عرضه زی‌کش در این استخرها نگهداری می‌شود. به بیان دیگر، اکثریت قریب به اتفاق کاربرانی که بیشترین ریسک را متحمل می‌شوند، هنوز دارایی خود را جابه‌جا نکرده‌اند. قریشی این رفتار را نوعی «بازار پیش‌بینی» طبیعی می‌داند. از نگاه او، اگر افرادی که مستقیماً در معرض خطر قرار دارند واقعاً باور داشتند این آسیب‌پذیری مورد سوءاستفاده قرار گرفته، باید شاهد خروج گسترده سرمایه از استخرهای خصوصی می‌بودیم؛ اتفاقی که تاکنون رخ نداده است. همین موضوع باعث شده برخی تحلیلگران معتقد باشند سقوط اخیر بیش از آنکه ناشی از شواهد واقعی باشد، نتیجه ترس، ابهام و بدترین سناریوهای ذهنی معامله‌گران است. توسعه‌دهندگان چگونه بحران را مدیریت کردند؟ پس از کشف آسیب‌پذیری، هورنبی بلافاصله موضوع را به آزمایشگاه توسعه متن‌باز زی‌کش (Zcash Open Development Lab) گزارش کرد. توسعه‌دهندگان نیز ابتدا یک سافت‌فورک اضطراری برای مسدود کردن مسیر حمله اجرا کردند و سپس ارتقای اصلی شبکه موسوم به NU6.2 را فعال کردند که به طور کامل نقص موجود در مدارهای رمزنگاری اورچارد را برطرف می‌کرد. بنیاد زی‌کش نیز در ادامه اعلام کرد که در جریان بررسی‌ها هیچ نشانه‌ای از ایجاد غیرمجاز توکن، افزایش عرضه یا نقض حریم خصوصی کاربران مشاهده نشده است. با این حال تیم توسعه برای افزایش شفافیت، در حال بررسی راه‌اندازی یک استخر محرمانه جدید و تقویت مکانیزم‌های حسابرسی عرضه است تا کاربران بتوانند با اطمینان بیشتری سلامت موجودی شبکه را بررسی کنند. آیا این بحران می‌تواند به نفع زی‌کش تمام شود؟ شاید عجیب به نظر برسد، اما برخی کارشناسان معتقدند این رویداد در بلندمدت حتی می‌تواند به تقویت امنیت زی‌کش منجر شود. شیلدد لبز اعلام کرده همکاری خود با هورنبی را ادامه خواهد داد و پروژه‌ای را برای «اعتبارسنجی رسمی» مدارهای رمزنگاری اورچارد آغاز می‌کند؛ روشی که با استفاده از اثبات‌های ریاضی تلاش می‌کند نبود آسیب‌پذیری‌های ناشناخته را تضمین کند. قریشی نیز معتقد است همان هوش مصنوعی که این باگ را کشف کرد، می‌تواند راه‌حل نسل بعدی امنیت نرم‌افزار را نیز ارائه دهد. از نگاه او، اعتبارسنجی رسمی به تدریج به یکی از استانداردهای اصلی توسعه نرم‌افزارهای حساس و زیرساخت‌های مالی تبدیل خواهد شد. در همین حال، در حالی که سقوط شدید قیمت ZEC بسیاری از سرمایه‌گذاران را نگران کرده، برخی چهره‌های شناخته‌شده صنعت کریپتو نگاه متفاوتی به این اتفاق دارند. «تایلر وینکلووس» (Tyler Winklevoss) و «کامرون وینکلووس» (Cameron Winklevoss)، بنیان‌گذاران صرافی جمینای، در روزهای اخیر از رویکرد جدید توسعه‌دهندگان زی‌کش برای افزایش امنیت شبکه حمایت کرده‌اند. آن‌ها با اشاره به اظهارات حسیب قریشی معتقدند کشف این آسیب‌پذیری بیش از آنکه نشانه شکست زی‌کش باشد، فرصتی برای ارتقای زیرساخت‌های امنیتی این شبکه است. کامرون وینکلووس در این رابطه اعلام کرده که «اعتبارسنجی رسمی» می‌تواند به راهکار استاندارد نسل بعدی نرم‌افزارهای مالی و بلاکچینی تبدیل شود. به گفته او، زی‌کش در ارتقای بعدی شبکه قصد دارد این رویکرد را به کار بگیرد؛ اقدامی که می‌تواند احتمال وقوع باگ‌های تورم‌زا یا اصطلاحاً «چاپ پول» در استخرهای محرمانه را عملاً از بین ببرد. توسعه‌دهندگان همچنین در حال بررسی راه‌اندازی یک استخر محرمانه جدید به همراه نسخه ارتقایافته مکانیزم Turnstile هستند. هدف از این تغییرات، انتقال دارایی‌ها از استخر فعلی اورچارد و ایجاد روشی شفاف برای اثبات این موضوع است که هیچ ZEC اضافه‌ای در شبکه ایجاد نشده است. البته باید توجه داشت که برادران وینکلووس و همچنین شرکت دراگون‌فلای در زی‌کش سرمایه‌گذاری کرده‌اند و طبیعتاً دیدگاه آن‌ها را باید در همین چارچوب نیز ارزیابی کرد. با این حال، حمایت چهره‌های شناخته‌شده صنعت از برنامه‌های امنیتی جدید زی‌کش نشان می‌دهد بخشی از بازار همچنان به بازسازی اعتماد و احیای جایگاه این پروژه در بلندمدت امیدوار است. جمع‌بندی سقوط ۴۰ درصدی زی‌کش صرفاً واکنشی به یک باگ امنیتی نبود؛ بلکه واکنشی به بحرانی از جنس اعتماد بود. بازاری که سال‌ها امنیت و محرمانگی زی‌کش را یکی از مهم‌ترین مزیت‌های آن می‌دانست، ناگهان با این واقعیت مواجه شد که یک آسیب‌پذیری بالقوه فاجعه‌بار به مدت چهار سال در قلب سیستم پنهان بوده است. با این حال، آنچه تاکنون می‌دانیم با بدترین سناریوهای مطرح‌شده در بازار فاصله دارد. هیچ شواهدی از سوءاستفاده از این نقص پیدا نشده، عرضه کل زی‌کش دست‌نخورده باقی مانده و حتی بسیاری از کاربرانی که بیشترین ریسک را متحمل می‌شوند، هنوز واکنش شدیدی به این خبر نشان نداده‌اند. در نهایت، ریزش اخیر بیش از آنکه نتیجه یک حمله واقعی باشد، حاصل ترکیب ترس، ابهام و عدم قطعیت بود؛ سه عاملی که در بازارهای مالی اغلب به اندازه خود واقعیت قدرت دارند