Morgenminutt
Morgenminutt er et daglig nyhetsbrev skrevet av Tyler Warner. Analysene og meningene som uttrykkes er hans egne og gjenspeiler ikke nødvendigvis Decrypts synspunkter. Sjekk også ut vårt nye daglige nyhetsprogram som dekker alle topphistoriene på 5 minutter, tilgjengelig for nedlasting på Apple Pod eller Spotify.
Dagens toppnyheter
God morgen! Den 29. mai oppdaget sikkerhetsforsker Taylor Hornby en kritisk sårbarhet i Zcashs Orchard-personvernbasseng, som kunne ha tillatt en angriper å mynte et ubegrenset antall falske ZEC. Hornby, som ble ansatt av ZCash-teamet for dette spesifikke formålet, oppdaget sårbarheten ved hjelp av Anthropics Claude Opus 4.8. Innen 1. juni hadde Zcash-økosystemet implementert en nødrettelse som løste problemet, selv om det hadde vært utnyttbart i de siste fire årene.
Hva var sårbarheten?
Orchard-bassenget, Zcashs mest avanserte skjermede transaksjonslag, har vært aktivt siden mai 2022 og bruker nullkunnskapsbevis for å validere transaksjoner uten å avsløre beløp eller deltakere. Feilen, forklart i enkle termer, var at en spesifikk sjekk som skulle validere transaksjonsinnganger, faktisk ikke håndhevet reglene den så ut til å håndheve. En angriper som oppdaget dette kunne mate falske innganger inn i sjekken og få den til å gå gjennom, noe som resulterte i generering av ZEC fra ingenting, med ZK-bevisystemet som godkjente svindeltransaksjonen som gyldig.
Hornby, med hjelp fra Opus 4.8, skrev en komplett fungerende utnyttelse og testet den i et lokalt miljø, hvor den fungerte: ubegrenset, uoppdagelig falsk ZEC, umulig å skille fra legitime mynter. Han avslørte umiddelbart sårbarheten til ZODL, Zcashs koordinerende utviklingsorgan, i stedet for å kjøre det på mainnet.
Hva gjør utnyttelsen ukjent?
Fordi Orchard er et personvernbasseng, er det ingen måte å kryptografisk bestemme om denne sårbarheten ble utnyttet mellom mai 2022 og juni 2026. Personvernegenskapene som gjør Orchard verdifull, er de samme egenskapene som gjør utnyttelse uoppdagelig. Nå sier teamet som ansatte Hornby at tidligere utnyttelse er usannsynlig. Feilen unngikk år med granskning fra verdensklasse kryptografer, og oppdagelsen krevde banebrytende AI-verktøy som kun er tilgjengelige for hvite-hatt forskere. Vinduer for utbedring var smale, men de var eksplisitte: brukere bør ikke stole på deres vurdering alene.
Hva skjer videre?
Shielded Labs foreslår en nettverksoppgradering som vil implementere et nytt skjermet basseng og håndheve «turnstile accounting» på alle mynter fra Orchard-bassenget. Dette vil i hovedsak tvinge hver eksisterende Orchard-mynt til å passere gjennom et verifiserbart kontrollpunkt som vil avsløre enhver falsk forsyning. Dette krever bred støtte fra fellesskapsstyring og en standard Zcash nettverksoppgraderingsprosess. Et detaljert forslag forventes neste uke. Shielded Labs starter også formelt et prosjekt for å matematikalsk verifisere hele Orchard-kretsen fra bunnen av, og ansetter en sikkerhetsansvarlig og en kryptograf.
Hvorfor dette er viktig utover Zcash
Dette er den klareste demonstrasjonen av hva Anthropics mest kapable AI-modell kan gjøre i hendene på en ekspert sikkerhetsforsker. Hornby brukte Opus 4.8, som ble offentliggjort 28. mai, og innen 24 timer etter utgivelsen, fant han en fire år gammel kritisk feil som hadde overlevd flere runder med ekspertvurdering. Og dette var bare Opus 4.8. Mythos kommer snart, og det vil komme bedre modeller etter det. Hver kryptoprotokoll må være på vakt – prøv å hacke eller utnytte din egen protokoll med ansatte hvite-hatt hackere, eller kast terningene og vent på at blackhats gjør det for deg. Klokken tikker, og den kortsiktige skjebnen til det bredere kryptorommet henger sannsynligvis i balanse.
