Morgen Minute
Morgen Minute er et dagligt nyhedsbrev skrevet af Tyler Warner. De analyser og meninger, der udtrykkes, er hans egne og afspejler ikke nødvendigvis dem fra Decrypt. Tjek også vores nye daglige nyhedsprogram, der dækker alle de vigtigste historier på 5 minutter, tilgængeligt på Apple Podcasts eller Spotify.
Dagens topnyheder
Den 29. maj opdagede sikkerhedsresearcheren Taylor Hornby en kritisk sårbarhed i Zcashs Orchard privatlivspool, som kunne have gjort det muligt for en angriber at præge en ubegribelig mængde falsk ZEC. Hornby, der blev ansat af Zcash-teamet netop for at undersøge sådanne problemer, fandt sårbarheden ved hjælp af Anthropics Claude Opus 4.8.
Den 1. juni implementerede Zcash-økosystemet en nødrettelse, der løste problemet, selvom det havde været udnytteligt i de sidste fire år.
Hvad sårbarheden indebar
Orchard-poolen, Zcashs mest avancerede beskyttede transaktionslag, som har været aktiv siden maj 2022, bruger nul-viden beviser til at validere transaktioner uden at afsløre beløb eller deltagere. Fejlen, forklaret i enkle termer: en specifik kontrol, der skulle validere transaktionsindgange, håndhævede faktisk ikke de regler, den så ud til at håndhæve.
En angriber, der opdagede dette, kunne indtaste falske indgange i kontrollen og få den til at bestå, hvilket genererede ZEC fra ingenting, mens ZK-bevissystemet godkendte den svigagtige transaktion som gyldig.
Hornby, med hjælp fra Opus 4.8, skrev et komplet fungerende udnyttelse og testede det i et lokalt miljø, hvor det fungerede: ubegribelig, uopdagelig falsk ZEC, umulig at skelne fra legitime mønter.
Han afslørede straks sårbarheden for ZODL, Zcashs koordinerende udviklingsorgan, i stedet for at køre det på mainnet.
Hvad der gør udnyttelsen ukendt
Fordi Orchard er en privatlivspool, er der ingen måde at kryptografisk bestemme, om denne sårbarhed blev udnyttet mellem maj 2022 og juni 2026. De privatlivsegenskaber, der gør Orchard værdifuld, er de samme egenskaber, der gør udnyttelse uopdagelig. Nu siger teamet, der ansatte Hornby, at tidligere udnyttelse er usandsynlig.
Fejlen undgik års granskning fra verdensklasse kryptografer, og opdagelsen krævede banebrydende AI-værktøjer, der kun var tilgængelige for white-hat forskere, og remedieringsvinduet var snævert. Men de var eksplicitte: brugere bør ikke stole på deres vurdering alene.
Hvad der sker næste
Shielded Labs foreslår en netværksopgradering, der vil implementere en ny beskyttet pool og håndhæve “turnstile accounting” på alle mønter fra Orchard-poolen. Dette ville i det væsentlige tvinge hver eksisterende Orchard-mønt til at passere gennem et verificerbart kontrolpunkt, der ville afsløre enhver falsk forsyning. Dette kræver bred støtte fra samfundets governance og en standard Zcash-netværksopgraderingsproces. Et detaljeret forslag forventes i næste uge.
Shielded Labs starter også formelt et projekt for matematisk at verificere hele Orchard-kredsløbet fra bunden og ansætter en sikkerhedschef og en kryptograf.
Hvorfor dette betyder noget ud over Zcash
Dette er den tydeligste demonstration af, hvad Anthropics mest kapable AI-model kan gøre i hænderne på en ekspert sikkerhedsresearcher. Hornby brugte Opus 4.8, der blev offentliggjort den 28. maj, og inden for 24 timer efter dens frigivelse fandt han en fire år gammel kritisk fejl, der havde overlevet flere runder af ekspert menneskelig gennemgang.
Og dette var kun Opus 4.8. Mythos kommer snart, og der vil komme bedre modeller efter det. Hver kryptoprotokol skal være på vagt – prøv at hacke/udnytte din egen protokol med ansat white-hat hackere, eller kast terningerne og vent på, at blackhats gør det for dig. Tiden tikker, og den kortsigtede skæbne for det bredere kryptorum hænger sandsynligvis i balancen.
