Утренние новости
Утренние новости — это ежедневная рассылка, написанная Тайлером Уорнером. Анализ и мнения, выраженные в ней, являются его собственными и не обязательно отражают мнение Decrypt. Также ознакомьтесь с нашим новым ежедневным новостным шоу, охватывающим все главные события за 5 минут, доступным для загрузки на Apple Podcasts или Spotify.
Главные новости
Доброе утро! Главные новости сегодня: 29 мая исследователь безопасности Тейлор Хорнби обнаружил критическую уязвимость в приватном пуле Orchard Zcash, которая позволила бы злоумышленнику создать неограниченное количество поддельных ZEC. Хорнби, который был нанят командой Zcash для этой цели, выявил уязвимость с помощью Claude Opus 4.8 от Anthropic. К 1 июня экосистема Zcash внедрила экстренное исправление, решив проблему, хотя она оставалась уязвимой на протяжении последних четырех лет.
Описание уязвимости
Что собой представляла уязвимость: Пул Orchard, самый продвинутый уровень защищенных транзакций Zcash, активный с мая 2022 года, использует нулевые знания для проверки транзакций без раскрытия сумм или участников. Ошибка заключалась в том, что конкретная проверка, которая должна была валидировать входные данные транзакции, на самом деле не соблюдала установленные правила. Злоумышленник, обнаруживший это, мог подать ложные входные данные в эту проверку, и она бы прошла — генерируя ZEC из ничего, при этом система ZK подтверждала бы мошенническую транзакцию как действительную.
Хорнби, используя Opus 4.8, написал полный рабочий эксплойт. Он протестировал его в локальной среде, и он сработал: неограниченные, неуловимые поддельные ZEC, неотличимые от легитимных монет. Он немедленно сообщил об этом ZODL, координирующему органу разработки Zcash, вместо того чтобы запускать его в основной сети.
Неопределенность влияния эксплойта
Что делает влияние эксплойта неизвестным: Поскольку Orchard является приватным пулом, нет способа криптографически определить, была ли эта уязвимость использована между маем 2022 года и июнем 2026 года. Приватные свойства, которые делают Orchard ценным, также делают эксплуатацию неуловимой. Теперь команда, нанявшая Хорнби, утверждает, что вероятность предыдущей эксплуатации маловероятна. Ошибка избегала многолетнего контроля со стороны криптографов мирового уровня, ее обнаружение требовало передовых инструментов ИИ, доступных только исследователям с белыми шляпами, а окно для исправления было узким. Однако они четко заявили: пользователи не должны полагаться только на их оценку.
Будущее Zcash
Что будет дальше: Shielded Labs предлагает обновление сети, которое внедрит новый защищенный пул и будет применять «учет через турникеты» ко всем монетам из пула Orchard. Это фактически заставит каждую существующую монету Orchard пройти через проверяемую контрольную точку, которая выявит любое поддельное предложение. Это требует широкой поддержки управления сообществом и стандартного процесса обновления сети Zcash. Подробное предложение ожидается на следующей неделе. Shielded Labs также официально инициирует проект по математической верификации всей цепи Orchard с нуля и нанимает руководителя по безопасности и криптографа.
Значение для криптопространства
Почему это важно не только для Zcash: Это наглядная демонстрация того, что может сделать самая мощная модель ИИ от Anthropic в руках опытного исследователя безопасности. Хорнби использовал Opus 4.8, выпущенный публично 28 мая, и в течение 24 часов после его выпуска он обнаружил критическую ошибку, существовавшую на протяжении четырех лет, которая пережила несколько раундов экспертной проверки. И это была всего лишь Opus 4.8. Mythos скоро появится, и будут лучшие модели после этого.
Каждый криптопротокол должен быть на чеку — пытайтесь взломать/эксплуатировать свой собственный протокол с помощью нанятых хакеров с белыми шляпами. Или рискуйте и ждите, пока черные шляпы сделают это за вас. Время идет, и ближайшая судьба более широкой криптопространства, вероятно, висит на волоске.
