Morgonminut
Morgonminut är ett dagligt nyhetsbrev skrivet av Tyler Warner. Analysen och åsikterna som uttrycks är hans egna och speglar inte nödvändigtvis Decrypts åsikter. Kolla också in vårt nya dagliga nyhetsprogram som täcker alla de viktigaste nyheterna på 5 minuter, tillgängligt för nedladdning på Apple Pod eller Spotify.
Dagens toppnyheter
God morgon! Den 29 maj upptäckte säkerhetsforskaren Taylor Hornby en kritisk sårbarhet i Zcashs Orchard-integritetspool, vilket skulle ha tillåtit en angripare att prägla en obegränsad mängd falska ZEC. Hornby, som anställdes av ZCash-teamet för detta specifika syfte, identifierade sårbarheten med hjälp av Anthropics AI-modell Claude Opus 4.8. Den 1 juni hade Zcash-ekosystemet implementerat en nödfix som åtgärdade problemet, trots att det hade varit exploaterbart i fyra år.
Vad var sårbarheten?
Orchard-poolen, Zcashs mest avancerade skyddade transaktionslager, har varit aktiv sedan maj 2022 och använder zero-knowledge-bevis för att validera transaktioner utan att avslöja belopp eller deltagare. Problemet i klartext: en specifik kontroll som skulle ha validerat transaktionsingångar verkade inte upprätthålla de regler den skulle. En angripare som upptäckte detta kunde mata in falska ingångar i kontrollen och få dem att passera, vilket genererade ZEC från ingenting, med ZK-bevisystemet som godkände den bedrägliga transaktionen som giltig. Hornby, med hjälp av Opus 4.8, skrev en komplett fungerande exploatering och testade den i en lokal miljö, där den fungerade: obegränsad, odetekterbar falsk ZEC, som inte gick att särskilja från legitima mynt. Han avslöjade omedelbart sårbarheten för ZODL, Zcashs koordinerande utvecklingsorgan, istället för att köra den på mainnet.
Vad gör exploateringen svår att upptäcka?
Eftersom Orchard är en integritetspool finns det inget sätt att kryptografiskt avgöra om denna sårbarhet utnyttjades mellan maj 2022 och juni 2026. De integritetsfunktioner som gör Orchard värdefull är samma funktioner som gör exploateringen odetekterbar. Nu säger teamet som anställde Hornby att tidigare exploatering är osannolik. Buggen undvek år av granskning från världsklass kryptografer, och upptäckten krävde banbrytande AI-verktyg som endast är tillgängliga för white-hat-forskare, och åtgärdsfönstret var smalt. Men de var tydliga: användare bör inte förlita sig på deras bedömning ensamma.
Vad händer härnäst?
Shielded Labs föreslår en nätverksuppgradering som skulle implementera en ny skyddad pool och upprätthålla ”turnstile accounting” på alla mynt från Orchard-poolen. Detta skulle i praktiken tvinga varje befintligt Orchard-mynt att passera genom en verifierbar kontrollpunkt som skulle avslöja eventuell förfalskad tillgång. Detta kräver brett stöd från gemenskapens styrning och en standard Zcash-nätverksuppgraderingsprocess. Ett detaljerat förslag förväntas nästa vecka. Shielded Labs inleder också formellt ett projekt för att matematiskt verifiera hela Orchard-kretsen från grunden och anställer en säkerhetschef och en kryptograf.
Varför är detta viktigt bortom Zcash?
Detta är den tydligaste verkliga demonstrationen hittills av vad Anthropics mest kapabla AI-modell kan åstadkomma i händerna på en expert säkerhetsforskare. Hornby använde Opus 4.8, som släpptes offentligt den 28 maj, och inom 24 timmar efter dess release upptäckte han en fyra år gammal kritisk bugg som hade överlevt flera omgångar av expertgranskning. Och detta var bara Opus 4.8. Mythos kommer snart, och det kommer att finnas bättre modeller efter det. Varje kryptoprotokoll måste vara på sin vakt – anställ white-hat-hackare för att försöka hacka/exploatera ditt eget protokoll, eller vänta på att blackhats gör det åt dig. Klockan tickar, och det kortsiktiga ödet för det bredare kryptorummet hänger sannolikt i balans.
