Un'IA ha trovato un bug che 4 anni di audit umani hanno trascurato. La parte più inquietante? Non possiamo dimostrare che non sia stato sfruttato.
Un bug critico è rimasto nel pool shielded di Zcash chiamato Orchard dal maggio 2022 per 4 anni. Il difetto era in sole due righe di codice all'interno del circuito di prova a conoscenza zero. Permetteva a chiunque di creare token ZEC falsi illimitati all'interno del pool shielded, completamente non rilevabili, senza alcuna firma on-chain.
Un modello di IA ha trovato ciò che 4 anni di audit umani hanno trascurato. Il ricercatore di sicurezza Taylor Hornby ha scoperto il bug il 29 maggio utilizzando un audit assistito da IA. Ha costruito un exploit completo in fase di test, generando ZEC falsi illimitati che la rete accettava come genuini. La correzione è stata implementata in un hard fork di emergenza entro il 1 giugno.
La parte più spaventosa: nessuno può provare che non sia stato sfruttato. Le stesse funzionalità di privacy di Zcash rendono impossibile auditare il pool protetto. Non c'è modo crittografico di sapere se qualcuno ha segretamente mintato ZEC falsi tra il 2022 e il 1 giugno 2026. La stessa privacy che rende ZEC prezioso rende anche questo non verificabile.
Arthur Hayes ha venduto pubblicamente tutta la sua posizione in ZEC. Il fondatore di BitMEX e CIO di Maelstrom ha annunciato di aver liquidato tutte le sue partecipazioni in ZEC dopo la divulgazione, affermando che l'incidente ha minato la sua fiducia nell'integrità dell'offerta. La sua uscita ha accelerato il sell-off da $624 a $309 in 48 ore.
Le monete privacy sono state trascinate giù con ZEC. Monero ($XMR ) ha perso il 12%. Dash ($DASH ) è sceso del 9%. Il bug di Zcash ha riacceso il dibattito su una "classe unica" di vulnerabilità nelle monete privacy dove lo sfruttamento è invisibile per design, rendendo impossibile garantire l'integrità dell'offerta.
L'IA ha trovato un bug di 4 anni. Monete false illimitate potrebbero essere state mintate. Arthur Hayes è scappato.$ZEC giù del 50%.
È un'opportunità di acquisto ora che è stato risolto — o l'integrità dell'offerta delle monete privacy è permanentemente compromessa?
Per favore, segui o metti un like se ti è piaciuto il blog... qualsiasi feedback sarà molto apprezzato.
Grazie
