Zcash、4年間潜んだ「偽造」脆弱性を修正 プライバシー基盤の刷新で市場評価が急回復

匿名性を重視する暗号資産Zcash(ZEC)が、通貨の根幹を揺るがしかねない重大な脆弱性の修正と、プライバシー基盤の刷新に向けた進展を背景に、市場での評価を急速に取り戻している。2026年6月に開示された「偽造(カウンターフィット)」につながり得る欠陥は、シールドプール「Orchard」の稼働開始から約4年間も検知されないまま潜んでいた。緊急対応で欠陥はすでに塞がれ、7月に入るとZECの価格は一時500ドルを突破。深刻なインシデントが、皮肉にも設計の作り直しと信頼再構築を促す転機となりつつある。

4年間気づかれなかった「無制限発行」の穴

問題が公表されたのは2026年6月上旬のことだ。報道によると、セキュリティ研究者のTaylor Hornby氏が2026年5月末にこの欠陥を発見し、Zcashの共同創設者Zooko Wilcox氏が詳細を開示した。欠陥はZcashの匿名送金を支える中核のシールドプール「Orchard」に存在していた。Orchardは送金元・送金先のアドレスや金額を秘匿する仕組みで、その回路(zk-SNARK回路)の制約が不十分だったために、理論上は攻撃者が上限なくZECを新規発行(偽造)でき、しかもそれが外部から検知されないおそれがあったという。

この欠陥は、Orchardが2022年5月に導入されて以降、およそ4年にわたって存在していた。プライバシーコインの性質上、供給量の不正な増加は通常の監査では見つけにくく、匿名性と検証可能性の両立という難題を改めて突きつけた形だ。複数の報道では、脆弱性の探索過程でAIが関与したとも伝えられているが、この点は本稿執筆時点で公式に確認された情報ではない。

なお、開発陣は「実際に悪用された形跡はなく、悪用される可能性も低かった」と説明している。それでも、通貨の信頼そのものに直結する欠陥であることに変わりはない。

緊急ハードフォークで即時対応、価格は一時急落

開示を受け、開発陣は数日のうちに脆弱性を含むコンポーネントを無効化し、修正済みの回路を緊急のハードフォーク(ネットワークアップグレード)で展開した。報道によると、2026年6月2日には緊急のネットワークアップグレードによって欠陥が塞がれたとされる。

一方で、市場の反応は厳しかった。欠陥が広く報じられた6月5日前後、ZECは一時およそ38%の急落を記録した。「偽造できるかもしれない通貨」という疑念は、匿名性を売りにする資産にとって致命的になりかねず、投資家の不安が短期的な売りにつながった。

「ターンスタイル」で供給を検証可能に

修正はあくまで応急処置であり、Zcashコミュニティはより根本的な作り直しに動いている。開発を主導するShielded Labsは、既存のOrchardに代わる新しいシールドプールの導入と、「ターンスタイル(turnstile)」と呼ばれる会計手法の採用を検討している。

ターンスタイルは、プールに出入りする資金を追跡することで、フルノードを運用する誰もがZECの総供給量が正しく保たれ、偽造されたコインが流通していないことを独立して検証できるようにする狙いがある。匿名性を保ちながら「供給の健全性」を外部から確認できる状態を目指すもので、今回の欠陥が突いた弱点を構造的に補うアプローチだ。

さらに、シールドプールを支えるzk-SNARK回路について、Orchardで起きたような偽造の一群が起こり得ないことを数学的に証明する「形式検証(formal verification)」の作業も進められている。報道によると、この検証はShielded Labs傘下の「Project Tachyon」が担い、共同創設者のZooko Wilcox氏は証明の完了が近いとの進捗を明らかにしたとされる。

危機が呼び込んだ再評価

こうした技術的な立て直しが、7月に入ってからの価格回復を後押ししている。報道によると、7月9日時点でZECは一時500ドルを突破し、その数日前には460ドル台、時価総額は約78億ドルで暗号資産の上位15位前後に位置していたとされる。次期アップグレード「Ironwood」に向けた進展や、前述の形式検証・ターンスタイル導入への期待が買い材料となった。

深刻な脆弱性の発覚は、本来であればプロジェクトにとって痛手でしかない。しかしZcashのケースは、迅速な開示・修正と、その後の設計刷新をどう進めるかによって、インシデントが信頼回復の起点にもなり得ることを示している。匿名性と検証可能性は本質的に緊張関係にあるが、供給を独立検証できる仕組みへ舵を切ることは、プライバシーコイン全体が抱える「見えないからこそ不正を見つけにくい」という根本課題への一つの回答でもある。数字の裏付けや証明が近く公開されれば、その真価が問われることになる。

見過ごせない教訓

今回の一件は、暗号資産に限らずソフトウェア全般に通じる教訓を含む。第一に、重大な欠陥が長期間(本件では約4年)検知されずに潜み得ること。監査やレビューを一度通過したから安全、とは言えない。第二に、匿名性・秘匿性を高める設計は、そのぶん内部の不正や欠陥を外部から検証しにくくするというトレードオフを伴うこと。第三に、インシデント発生時の「速やかな開示と修正」、そして事後の「構造的な作り直し」が、信頼をどこまで取り戻せるかを左右すること。プライバシーを扱うシステムを設計・運用する組織にとって、検証可能性をどう担保するかは避けて通れない論点だ。

出典・参考リンク