Minute du Matin
Minute du Matin est une newsletter quotidienne rédigée par Tyler Warner. Les analyses et opinions exprimées sont celles de l’auteur et ne reflètent pas nécessairement celles de Decrypt. Découvrez également notre nouvelle émission d’actualités quotidienne qui couvre toutes les principales histoires en 5 minutes, disponible sur Apple Podcasts et Spotify.
Les principales nouvelles d’aujourd’hui
Le 29 mai, un chercheur en sécurité nommé Taylor Hornby a découvert une vulnérabilité critique dans le pool de confidentialité Orchard de Zcash, qui aurait permis à un attaquant de frapper une quantité illimitée de ZEC contrefaits. Hornby, engagé par l’équipe Zcash pour cette raison précise, a identifié cette faille en utilisant Claude Opus 4.8 d’Anthropic. D’ici le 1er juin, l’écosystème Zcash avait déployé un correctif d’urgence, résolvant le problème, bien qu’il ait été exploitable pendant les quatre dernières années.
La vulnérabilité
Le pool Orchard, la couche de transaction protégée la plus avancée de Zcash, active depuis mai 2022, utilise des preuves à divulgation nulle de connaissance pour valider les transactions sans révéler les montants ou les participants. En termes simples, le bug résidait dans un contrôle spécifique qui était censé valider les entrées de transaction, mais qui n’appliquait en réalité pas les règles qu’il prétendait appliquer. Un attaquant qui découvrait cette faille pouvait fournir de fausses entrées à ce contrôle et les faire passer, générant ainsi du ZEC à partir de rien, le système de preuve ZK validant la transaction frauduleuse comme valide.
Hornby, avec l’aide d’Opus 4.8, a écrit un exploit fonctionnel complet. Il l’a testé dans un environnement local et cela a fonctionné : des ZEC contrefaits illimités et indétectables, indiscernables des pièces légitimes. Il a immédiatement divulgué cette information à ZODL, l’organisme de développement coordonné de Zcash, plutôt que de l’exécuter sur le mainnet.
Impact de l’exploitation
Étant donné qu’Orchard est un pool de confidentialité, il n’y a aucun moyen de déterminer cryptographiquement si cette vulnérabilité a été exploitée entre mai 2022 et juin 2026. Les propriétés de confidentialité qui rendent Orchard précieux sont les mêmes qui rendent l’exploitation indétectable.
L’équipe qui a engagé Hornby affirme qu’une exploitation antérieure est peu probable. Le bug a échappé à des années d’examen par des cryptographes de classe mondiale, et sa découverte a nécessité des outils d’IA de pointe, disponibles uniquement pour les chercheurs White-hat. Cependant, ils ont été clairs : les utilisateurs ne devraient pas se fier uniquement à leur évaluation.
Que se passe-t-il ensuite ?
Shielded Labs propose une mise à niveau du réseau qui déploierait un nouveau pool protégé et imposerait une « comptabilité de tourniquet » sur toutes les pièces du pool Orchard. Cela forcerait essentiellement chaque pièce existante d’Orchard à passer par un point de contrôle vérifiable, exposant ainsi toute offre contrefaite. Cela nécessite un large soutien de la gouvernance communautaire et un processus standard de mise à niveau du réseau Zcash. Une proposition détaillée est attendue la semaine prochaine. Shielded Labs initie également formellement un projet pour vérifier mathématiquement l’ensemble du circuit Orchard depuis le début et recrute un Responsable de la Sécurité et un Cryptographe.
Pourquoi cela compte au-delà de Zcash
C’est la démonstration la plus claire dans le monde réel de ce que le modèle d’IA le plus avancé d’Anthropic peut accomplir entre les mains d’un chercheur en sécurité expert. Hornby a utilisé Opus 4.8, publié publiquement le 28 mai, et dans les 24 heures suivant sa sortie, il a trouvé un bug critique vieux de quatre ans qui avait survécu à plusieurs rondes d’examen par des experts humains. Et ce n’était que la version 4.8. Mythos arrive bientôt, et il y aura de meilleurs modèles après cela.
Chaque protocole crypto doit être en alerte : essayez de pirater ou d’exploiter votre propre protocole avec des hackers White-hat engagés, ou lancez les dés et attendez que les Blackhats le fassent pour vous. Le temps presse, et le destin à court terme de l’ensemble de l’espace crypto est probablement en jeu.
