Morning Minute
Morning Minute è una newsletter quotidiana scritta da Tyler Warner. Le analisi e le opinioni espresse sono personali e non riflettono necessariamente quelle di Decrypt. Ti invitiamo a dare un’occhiata al nostro nuovo programma di notizie quotidiane, che copre tutte le principali notizie in 5 minuti, disponibile su Apple Podcast e Spotify.
Le principali notizie di oggi
Il 29 maggio, un ricercatore di sicurezza di nome Taylor Hornby ha scoperto una vulnerabilità critica nel pool di privacy Orchard di Zcash, che avrebbe permesso a un attaccante di coniare un numero illimitato di ZEC falsi. Hornby, assunto dal team di Zcash per questo specifico compito, ha trovato la vulnerabilità utilizzando Claude Opus 4.8 di Anthropic. Entro il 1° giugno, l’ecosistema Zcash aveva implementato una correzione di emergenza, risolvendo il problema, che era sfruttabile da ben quattro anni.
Dettagli sulla vulnerabilità
Cos’era la vulnerabilità: il pool Orchard, il livello di transazione protetto più avanzato di Zcash, attivo dal maggio 2022, utilizza prove a conoscenza zero per convalidare le transazioni senza rivelare importi o partecipanti. In termini semplici, il bug consisteva in un controllo specifico che doveva convalidare gli input delle transazioni, ma non applicava effettivamente le regole che sembrava rispettare. Un attaccante che avesse scoperto questa falla avrebbe potuto inserire input falsi in quel controllo e farli passare, generando ZEC dal nulla, con il sistema di prova ZK che avallava la transazione fraudolenta come valida.
Hornby, con l’assistenza di Opus 4.8, ha scritto un exploit funzionante completo. Lo ha testato in un ambiente locale e ha confermato che era in grado di generare ZEC falsi illimitati e indetectabili, indistinguibili da monete legittime. Ha immediatamente divulgato la scoperta a ZODL, l’organo di coordinamento dello sviluppo di Zcash, evitando di eseguire l’exploit sulla mainnet.
Impatto dell’exploit
Cosa rende sconosciuto l’impatto dell’exploit: poiché Orchard è un pool di privacy, non esiste un modo crittograficamente valido per determinare se questa vulnerabilità sia stata sfruttata tra maggio 2022 e giugno 2026. Le stesse proprietà di privacy che rendono Orchard prezioso sono quelle che rendono l’exploit indetectabile.
Ora il team che ha assunto Hornby afferma che un precedente sfruttamento è improbabile. Il bug ha eluso anni di scrutinio da parte di crittografi di livello mondiale; la scoperta ha richiesto strumenti AI all’avanguardia disponibili solo per ricercatori white-hat, e la finestra di rimedio era ristretta. Tuttavia, sono stati chiari: gli utenti non dovrebbero fare affidamento solo sulla loro valutazione.
Prossimi passi
Cosa succede dopo: Shielded Labs sta proponendo un aggiornamento della rete che implementerebbe un nuovo pool protetto e imporrebbe “contabilità a tornello” su tutte le monete del pool Orchard. Questo costringerebbe ogni moneta Orchard esistente a passare attraverso un checkpoint verificabile, esponendo eventuali forniture contraffatte. Ciò richiede un ampio supporto della governance della comunità e un processo standard di aggiornamento della rete Zcash. Una proposta dettagliata è attesa per la prossima settimana. Shielded Labs sta anche avviando formalmente un progetto per verificare matematicamente l’intero circuito Orchard da zero e sta cercando un Responsabile della Sicurezza e un Crittografo.
Importanza oltre Zcash
Perché questo è importante oltre Zcash: questa è la dimostrazione più chiara nel mondo reale di ciò che il modello AI più avanzato di Anthropic può fare nelle mani di un esperto ricercatore di sicurezza. Hornby ha utilizzato Opus 4.8, rilasciato pubblicamente il 28 maggio, e entro 24 ore dal suo rilascio ha trovato un bug critico di quattro anni che era sopravvissuto a più turni di revisione da parte di esperti umani.
E questo era solo Opus 4.8. Mythos arriverà presto, e ci saranno modelli migliori dopo di esso. Ogni protocollo crypto deve essere avvisato: prova a hackerare/sfruttare il tuo stesso protocollo con hacker white-hat assunti, oppure rischia e aspetta che i black-hat lo facciano per te. Il tempo stringe e il destino a breve termine dell’intero spazio crypto è probabilmente in bilico.
