Crypto Prices

Morgenminute: Kritische Sicherheitsanfälligkeit im ZCash Orchard-Pool entdeckt – Ausmaß unklar

vor 7 Stunden
2 minuten gelesen
3 ansichten

Die Morgenminute

Die Morgenminute ist ein täglicher Newsletter, verfasst von Tyler Warner. Die darin geäußerten Analysen und Meinungen sind seine eigenen und spiegeln nicht unbedingt die Ansichten von Decrypt wider. Schauen Sie sich auch unsere neue tägliche Nachrichtenshow an, die alle Top-Geschichten in nur 5 Minuten zusammenfasst und auf Apple Podcasts oder Spotify heruntergeladen werden kann.

Guten Morgen! Hier sind die wichtigsten Nachrichten des Tages:

Sicherheitsanfälligkeit im Zcash Orchard-Pool

Am 29. Mai entdeckte der Sicherheitsforscher Taylor Hornby eine kritische Sicherheitsanfälligkeit im Orchard-Privatpool von Zcash, die es einem Angreifer ermöglicht hätte, unbegrenzt gefälschtes ZEC zu prägen. Hornby, der genau aus diesem Grund vom ZCash-Team eingestellt wurde, fand die Schwachstelle mithilfe von Anthropic’s Claude Opus 4.8. Bis zum 1. Juni hatte das Zcash-Ökosystem einen Notfallfix bereitgestellt, der das Problem behob – obwohl die Sicherheitsanfälligkeit in den letzten vier Jahren ausgenutzt werden konnte.

Details zur Sicherheitsanfälligkeit

Was war die Sicherheitsanfälligkeit? Der Orchard-Pool, Zcashs fortschrittlichste geschützte Transaktionsschicht, die seit Mai 2022 aktiv ist, verwendet Zero-Knowledge-Proofs, um Transaktionen zu validieren, ohne Beträge oder Teilnehmer offenzulegen. Der Fehler in einfachen Worten: Eine spezifische Überprüfung, die eigentlich die Transaktionseingaben validieren sollte, setzte die Regeln, die sie durchsetzen sollte, nicht tatsächlich um. Ein Angreifer, der dies entdeckte, konnte falsche Eingaben in diese Überprüfung einspeisen und sie trotzdem bestehen lassen – wodurch ZEC aus dem Nichts generiert wurde, während das ZK-Proof-System die betrügerische Transaktion als gültig anerkannte.

Hornby entwickelte mit Hilfe von Opus 4.8 einen vollständigen funktionierenden Exploit. Er testete diesen in einer lokalen Umgebung, und es funktionierte: unbegrenztes, nicht nachweisbares gefälschtes ZEC, das nicht von legitimen Münzen zu unterscheiden war. Er meldete den Exploit sofort an ZODL, das koordinierende Entwicklungsgremium von Zcash, anstatt ihn im Mainnet auszunutzen.

Unklarheit über das Ausmaß des Exploits

Was das Ausmaß des Exploits unklar macht: Da Orchard ein Privatpool ist, gibt es keine Möglichkeit, kryptografisch zu bestimmen, ob diese Sicherheitsanfälligkeit zwischen Mai 2022 und Juni 2026 ausgenutzt wurde. Die Datenschutzeigenschaften, die Orchard wertvoll machen, sind dieselben Eigenschaften, die eine Ausnutzung nicht nachweisbar machen. Das Team, das Hornby eingestellt hat, äußerte sich jedoch, dass eine frühere Ausnutzung unwahrscheinlich sei. Der Fehler entging jahrelanger Prüfung durch weltklasse Kryptographen; seine Entdeckung erforderte hochmoderne KI-Tools, die nur für White-Hat-Forscher verfügbar sind, und das Zeitfenster für die Behebung war eng. Dennoch betonten sie ausdrücklich, dass Benutzer sich nicht nur auf ihre Einschätzung verlassen sollten.

Was als Nächstes passiert

Shielded Labs schlägt ein Netzwerk-Upgrade vor, das einen neuen geschützten Pool bereitstellen und „Turnstile Accounting“ für alle Münzen aus dem Orchard-Pool durchsetzen würde. Dies würde im Wesentlichen jede bestehende Orchard-Münze zwingen, einen überprüfbaren Kontrollpunkt zu passieren, der jede gefälschte Versorgung offenlegen würde. Dies erfordert breite Unterstützung der Gemeinschaftsverwaltung und einen standardmäßigen Zcash-Netzwerk-Upgrade-Prozess. Ein detaillierter Vorschlag wird nächste Woche erwartet. Shielded Labs initiiert auch formal ein Projekt, um den gesamten Orchard-Kreis von Grund auf mathematisch zu verifizieren, und stellt einen Sicherheitsleiter sowie einen Kryptographen ein.

Bedeutung über Zcash hinaus

Warum das über Zcash hinaus wichtig ist: Dies ist die klarste reale Demonstration dessen, was Anthropic’s leistungsfähigstes KI-Modell in den Händen eines erfahrenen Sicherheitsforschers bewirken kann. Hornby verwendete Opus 4.8, das am 28. Mai öffentlich veröffentlicht wurde, und innerhalb von 24 Stunden nach seiner Veröffentlichung fand er einen vier Jahre alten kritischen Fehler, der mehrere Runden menschlicher Expertenprüfung überstanden hatte. Und das war nur Opus 4.8. Mythos wird bald folgen, und es werden bessere Modelle danach kommen. Jedes Krypto-Protokoll muss auf der Hut sein – versuchen Sie, Ihr eigenes Protokoll mit engagierten White-Hat-Hackern zu testen oder setzen Sie auf Glück und warten Sie, bis die Blackhats es für Sie tun. Die Uhr tickt, und das Schicksal des breiteren Krypto-Raums steht wahrscheinlich auf der Kippe.

Tags

Verwandte Seiten

Beliebt