ZachXBT segnala una falla nella privacy nell'integrazione NEAR Intents di Zashi Wallet

L'investigatore blockchain ZachXBT ha scoperto una vulnerabilità della privacy nell'integrazione del portafoglio Zashi con il protocollo di transazione cross-chain NEAR Intents. Il ricercatoredent ha aperto un thread su X martedì, affermando di aver testato il sistema per trovare "difetti di progettazione di cui avrebbe potuto abusare" durante le sue indagini su soggetti fraudolenti.

Zashi è un portafoglio crittografico auto-custodito sviluppato da Electric Coin Co., il team dietro Zcash (ZEC), una criptovaluta orientata alla privacy lanciata nel 2016. Il portafoglio consente agli utenti di inviare, ricevere e spendere ZEC mantenendo la propria attività finanziaria nascosta a intermediari, aziende o sorveglianza governativa.

ZachXBT ha scritto di aver testato l'integrazione di Zashi con NEAR Intents a causa del "recente clamore mediatico", chiedendosi se mantenesse lo stesso livello di anonimato Zcash si aspettano dalle transazioni protette.

L'investigatoredentuna falla nella privacy nel trasferimento di SOL a Zcash

Nel suo esperimento, ZachXBT ha trasferito 1 SOL da Solana a Zcash utilizzando NEAR Intents sul portafoglio Zashi. Ha poi protetto i fondi per motivi di privacy dopo aver confermato sia la transazione di origine che quella di destinazione. 

L'investigatore della sicurezza blockchain ha quindi utilizzato la funzionalità "CrossPay" di Zashi, che consente agli utenti di spendere ZEC protetti e inviare un valore equivalente in un'altra criptovaluta, per finanziare un indirizzo Ethereum con 0,005 ETH.

3/ Ora diciamo che voglio finanziare in modo anonimo un indirizzo ETH dal mio portafoglio Zashi con i miei ZEC schermati, quindi utilizzo la funzione "Crosspay" tramite Near Intents per ricevere 0,005 ETH al seguente indirizzo:

0x6dda3649f19191a9df465f4010019f2f59c34bc4 pic.twitter.com/5cMDG83MN9

— ZachXBT (@zachxbt) 21 ottobre 2025

Mentre il trasferimento principale era stato completato dopo diversi minuti, ZachXBT ha scoperto una transazione di rimborso inaspettata di 0,001598 ZEC inviata allo stesso indirizzo trasparente da cui aveva originariamente nascosto i fondi. 

Secondo il noto investigatore della sicurezza crittografica, il rimborsomatic ha creato un collegamento visibile tra i suoi indirizzi schermati e quelli non schermati, minando la privacy che il sistema schermato di Zcashdovrebbe proteggere.

La transazione di rimborso era pubblicamente tracsulla blockchain Zcash e avrebbe potuto consentire a chiunque di confrontare tempi e importi tra il sistema NEAR Intents e il rimborso stesso. 

"Qualcuno può semplicemente confrontare i tempi/importi dell'indirizzo Near Intents edentle transazioni di rimborso ZEC, consentendo a qualcuno di deanonimizzare il tuo indirizzo T da cui inizialmente hai protetto ZEC poiché è statico e i rimborsi non sono protetti", ha ipotizzato ZachXBT.

Zashi Wallet promette aggiornamenti per risolvere il problema trac

Il ricercatore di sicurezza di Web3 ha rivelato che la falla derivava dal modo in cui NEAR Intents gestisce i rimborsi per le transazioni cross-chain. Nel suo esempio, l'indirizzo Zcash di Near Intents utilizzato era visibile al pubblico, il che significa che le transazioni di rimborso venivano elaborate in modo trasparente anziché all'interno del pool protetto di Zcash. 

Poiché l'integrazione di Zashi riutilizza lo stesso indirizzo trasparente per i rimborsi, il collegamento diventa ovvio per gli analisti on-chain.

Dopodentil difetto, ZachXBT ha dichiarato di aver contattato il team di sviluppo di Zashi, che ha riconosciuto il problema e confermato i piani per introdurre indirizzi effimeri. 

Se l'aggiornamento verrà implementato come previsto, questi indirizzi di portafoglio temporanei scompariranno dopo ogni transazione per ridurre trac. Gli hanno anche comunicato che i rimborsi protetti saranno inclusi in NEAR Intents in un futuro aggiornamento.

Nonostante il difetto, ZachXBT ha definito Zashi "enjper la privacy", sottolineando come risolva diversi problemi di interfaccia e di esperienza utente riscontrati con Monero, un'altra criptovaluta incentrata sulla privacy. 

"Sto valutando la possibilità di offrire un servizio ai singoli trader o ai fondi boutique che desiderano rendere anonima la propria attività", ha affermato, aggiungendo che le parti interessate possono contattarlo direttamente per una collaborazione.

Quando un follower gli ha detto che la sua idea è simile a quella dei consulenti di sicurezza informatica, assunti per violare i sistemi di sicurezza edenti punti deboli, ZachXBT ha concordato. 

Il volume storico del protocollo NEAR Intents raggiunge i 2 miliardi di dollari

Secondo i dati di Dune Analytics, NEAR Intents sta registrando un aumento dell'attività degli utenti e del volume delle transazioni, che ha ormai superato i 2 miliardi di dollari.

Il volume giornaliero mensile della blockchain sul sistema basato sugli intenti è aumentato del 379%, con un numero di utenti che ha superato i 457.000 dal 21 settembre. 

NEAR Intents è un protocollo di transazione multicatena che automatizza le azioni cross-chain attraverso un meccanismo basato sugli intenti. Invece di collegare o scambiare manualmente i token, gli utenti o gli agenti di intelligenza artificiale che agiscono per loro conto trasmettono il risultato desiderato, come lo scambio di un token con un altro.

Nelle ultime 24 ore, gli utenti hanno effettuato transazioni in token per un valore di 65 milioni di dollari, di cui il 10% è stato generato da ZEC. Il portafoglio supporta attualmente due funzionalità live, Zashi Swaps e CrossPay, lanciate all'inizio di questo mese.