Уязвимость Zcash: ИИ обнаружил критический баг в чеканке монет

ИИ обнаружил критическую уязвимость Zcash: Новая эра в безопасности криптовалют

Значительная уязвимость в пуле конфиденциальности Orchard протокола Zcash, позволяющая создавать неограниченное количество поддельных ZEC, была выявлена. Это открытие, сделанное исследователем безопасности Тейлором Хорнби с использованием Anthropic’s Claude Opus 4.8, подчеркивает растущую роль искусственного интеллекта в обнаружении глубоко скрытых недостатков в сложных блокчейн-системах.

Четырехлетняя слепая зона: Неограниченная чеканка ZEC

29 мая Тейлор Хорнби, нанятый командой Zcash для аудита безопасности, выявил критический недостаток в пуле конфиденциальности Orchard. Этот сложный уровень, работающий с мая 2022 года, использует доказательства с нулевым разглашением для обеспечения конфиденциальных транзакций без раскрытия отправителя, получателя или суммы. Ошибка по сути обходила критическую проверку валидации, позволяя злоумышленнику вводить ложные данные, которые система ошибочно одобряла, тем самым чеканя ZEC из ничего, неотличимые от законных монет.

«Эта уязвимость Zcash является суровым напоминанием о том, что даже самые тщательно разработанные криптографические протоколы могут скрывать глубокие опасности,» — заявляет доктор Аня Шарма, аналитик по безопасности блокчейна. «Тот факт, что она оставалась незамеченной в течение четырех лет, избегая экспертной проверки человеком, подчеркивает исключительную сложность и необходимость новых подходов к аудиту.»

Хорнби, с помощью Claude Opus 4.8, не только выявил недостаток, но и разработал рабочий эксплойт в локальной среде, продемонстрировав его потенциал для генерации необнаруживаемых, неограниченных поддельных ZEC. Он оперативно сообщил о своих выводах ZODL, координирующему органу разработки Zcash, предотвратив любую эксплуатацию в основной сети. Экстренное исправление было развернуто к 1 июня, снизив непосредственную угрозу.

Неизвестный масштаб эксплуатации

Сами функции конфиденциальности, которые делают Orchard ценным, также скрывают прошлое. Из-за природы доказательств с нулевым разглашением и экранированных транзакций криптографически невозможно установить, была ли эта уязвимость использована в период с мая 2022 года по июнь 2026 года. Команда Zcash предполагает, что предыдущая эксплуатация маловероятна, ссылаясь на тонкость ошибки, передовые инструменты ИИ, необходимые для ее обнаружения, и узкое окно возможностей. Однако они явно советуют пользователям не полагаться исключительно на эту оценку.

Путь вперед: Обновления сети и улучшенный аудит

Shielded Labs предлагает значительное обновление сети для устранения сохраняющейся неопределенности. Это обновление представит новый экранированный пул и внедрит «учет турникета» для всех монет, поступающих из пула Orchard. Этот механизм по сути заставит все существующие ZEC из Orchard пройти через проверяемую контрольную точку, предназначенную для выявления любого ранее поддельного предложения. Эта инициатива требует широкой поддержки со стороны сообщества и соблюдения стандартного процесса обновления сети Zcash. Подробное предложение ожидается в ближайшее время.

Помимо этого немедленного решения, Shielded Labs инициирует проект по математической проверке всей схемы Orchard с нуля, подтверждая свою приверженность надежной безопасности блокчейна. Они также активно набирают руководителя по безопасности и криптографа для усиления своей внутренней экспертизы.

Двуликий меч ИИ: Будущее безопасности протоколов

Этот инцидент служит мощной демонстрацией возможностей Anthropic’s Claude Opus 4.8 в руках опытного исследователя безопасности. Модель, публично выпущенная 28 мая, позволила Хорнби обнаружить четырехлетнюю критическую ошибку в течение 24 часов – недостаток, который ранее выдержал несколько раундов экспертной проверки человеком. Это событие посылает четкий сигнал всей криптоэкосистеме.

«Эксплойт Zcash — это тревожный звонок для каждого блокчейн-проекта,» — отмечает Майкл Чен, эксперт по кибербезопасности, специализирующийся на приложениях ИИ. «По мере того как модели ИИ становятся все более сложными, они становятся незаменимыми инструментами как для белых, так и для черных хакеров. Протоколы должны активно участвовать в аудите с помощью ИИ, чтобы оставаться впереди, или рискуют столкнуться с разрушительными эксплойтами.»

С появлением передовых моделей ИИ, таких как Mythos, давление на криптопротоколы по тщательному аудиту своих систем усиливается. Часы тикают, и проактивные меры безопасности, включая привлечение белых хакеров и использование передового ИИ, больше не являются необязательными, а необходимы для долгосрочной целостности более широкого криптопространства.