Исследователь блокчейна ZachXBT обнаружил уязвимость в системе обеспечения конфиденциальности при интеграции кошелька Zashi с протоколом межсетевых транзакций NEAR Intents.dent исследователь написал во вторник в ветке на X, что тестировал систему, чтобы найти «конструктивные недостатки, которыми он мог бы воспользоваться», в ходе своих расследований в отношении мошенников.
Zashi — это криптокошелек с возможностью самостоятельного хранения средств, разработанный компанией Electric Coin Co., командой, создавшей Zcash (ZEC), криптовалюту, ориентированную на конфиденциальность и запущенную в 2016 году. Кошелек позволяет пользователям отправлять, получать и тратить ZEC, скрывая при этом свою финансовую активность от посредников, корпораций или государственного надзора.
ZachXBT написал о том, как он тестировал интеграцию Zashi с NEAR Intents из-за «недавнего ажиотажа», задаваясь вопросом, сохраняет ли она тот же уровень анонимности, которого Zcash от защищенных транзакций.
Следовательdentуязвимость в системе конфиденциальности при переносе SOL на Zcash
В своем эксперименте ZachXBT перевел 1 SOL из Solana в Zcash используя NEAR Intents, в кошелек Zashi. Затем он защитил средства в целях конфиденциальности, подтвердив как исходную, так и целевую транзакции.
Затем специалист по безопасности блокчейна использовал функцию Zashi «CrossPay», которая позволяет пользователям тратить защищенные ZEC и отправлять эквивалентную сумму в другой криптовалюте, чтобы пополнить Ethereum адрес на 0,005 ETH.
3/ Допустим, я хочу анонимно пополнить ETH-адрес со своего кошелька Zashi с помощью защищенного ZEC, поэтому я использую функцию «Crosspay» через Near Intents, чтобы получить 0,005 ETH на следующий адрес:
— ZachXBT (@zachxbt) 21 октября 2025 г
0x6dda3649f19191a9df465f4010019f2f59c34bc4 pic.twitter.com/5cMDG83MN9
Хотя основной перевод завершился через несколько минут, ZachXBT обнаружил неожиданную транзакцию возврата средств в размере 0,001598 ZEC, отправленную на тот же прозрачный адрес, с которого он первоначально скрыл эти средства.
По словам известного специалиста по криптобезопасности,matic возврат средств создал видимую связь между его защищенными и незащищенными адресами, подрывая конфиденциальность, которую призвана защищать защищенная система Zcash.
Транзакция по возврату средств была общедоступна и могла быть tracв блокчейне Zcash , что позволило бы любому сопоставить время и суммы возврата между системой NEAR Intents и самим возвратом.
«Кто-то может просто сопоставить время и суммы транзакций с адреса Near Intents иdentтранзакции по возврату средств ZEC, что позволит деанонимизировать ваш транзакционный адрес, от которого вы изначально защитили ZEC, поскольку он статичен, а возвраты средств не защищены», — предположил ZachXBT.
Zashi Wallet обещает обновления для решения проблемы trac
Исследователь безопасности Web3 выявил уязвимость в том, как NEAR Intents обрабатывает возвраты средств для межсетевых транзакций. В его примере адрес Zcash , используемый NEAR Intents, был общедоступным, что означало, что транзакции возврата средств обрабатывались прозрачно, а не в рамках защищенного пула Zcash.
Поскольку интеграция Zashi использует один и тот же прозрачный адрес для возврата средств, связь становится очевидной для аналитиков в блокчейне.
Послеdentуязвимости ЗакXBT сообщил, что связался с командой разработчиков Zashi, которая признала проблему и подтвердила планы по внедрению временных адресов.
Эти временные адреса кошельков будут исчезать после каждой транзакции, чтобы снизить trac, если обновление будет реализовано должным образом. Ему также сообщили, что в будущем обновлении в рамках NEAR Intents будет включена функция защищенного возврата средств.
Несмотря на недостаток, ZachXBT назвал Zashi «enjв использовании кошельком для обеспечения конфиденциальности», отметив, что он исправляет ряд проблем с пользовательским интерфейсом и удобством использования, с которыми он столкнулся в Monero, еще одной криптовалюте, ориентированной на конфиденциальность.
«Я рассматриваю возможность предоставления услуг индивидуальным трейдерам или небольшим инвестиционным фондам, стремящимся к анонимизации своей деятельности», — сказал он, добавив, что заинтересованные стороны могут связаться с ним напрямую для сотрудничества.
Когда один из подписчиков сказал ему, что его идея похожа на то, как работают консультанты по кибербезопасности, которых нанимают для взлома защищенных систем с цельюdentуязвимостей, ЗакXBT согласился.
Рекордный объем транзакций протокола NEAR Intents достиг 2 миллиардов долларов
в NEAR Intents наблюдается рост активности пользователей и объема транзакций, который на данный момент превысил 2 миллиарда долларов. данным Dune Analytics,
Ежемесячный ежедневный объем транзакций в блокчейне на основе намерений увеличился на 379%, а количество пользователей превысило 457 000 с 21 сентября.
NEAR Intents — это протокол многоцепочечных транзакций, который автоматизирует межцепочечные действия с помощью механизма, основанного на намерениях. Вместо ручного соединения или обмена токенов пользователи или ИИ-агенты, действующие от их имени, передают желаемый результат, например, обмен одного токена на другой.
За последние 24 часа пользователи совершили транзакции с токенами на сумму 65 миллионов долларов, при этом на ZEC приходится 10% от общей суммы. В настоящее время кошелек поддерживает две работающие функции: Zashi Swaps и CrossPay, которые были запущены ранее в этом месяце.
