TheBlock
Eine kritische Zero-Knowledge-Circuit-Schwachstelle im geschützten Transaktionspool von Zcash's Orchard ermöglichte es einem Angreifer, eine "unbegrenzte" Menge an gefälschtem ZEC zu prägen — völlig unentdeckt im Pool. Der Sicherheitsingenieur Taylor Hornby, der von Shielded Labs eingestellt wurde, entdeckte die Schwachstelle am 29. Mai mit dem Opus 4.8 Modell von Anthropic und einem maßgeschneiderten KI-Harness und gab sie sofort an die Ingenieure des Zcash Open Development Lab weiter. Der Fehler wurde am 1. Juni behoben, war jedoch seit der Aktivierung von Orchard im Mai 2022 vorhanden.
Warum es wichtig ist
Die Schwachstelle resultierte aus einem "unterbeschränkten" Element des Orchard-Circuits — dem Zero-Knowledge-Beweissystem, das geschützte Transaktionen validiert. Indem ein Angreifer willkürliche falsche Eingaben in eine elliptische Kurvenmultiplikation einspeiste, konnte er die Gültigkeitsprüfungen des Circuits vollständig umgehen. Hornby bestätigte einen funktionierenden Exploit in einer lokalen Regtest-Umgebung, der unbegrenztes, unentdecktes gefälschtes ZEC generierte. Da die Datenschutzmerkmale von Orchard die Transaktionsdetails absichtlich verschleiern, ist es technisch unmöglich auszuschließen, ob die Schwachstelle während ihres dreijährigen Expositionszeitraums ausgenutzt wurde. Shielded Labs erklärte, man sei "nicht übermäßig besorgt", dass Fälschungen aufgetreten sind, und wies darauf hin, dass der Fehler jahrelang den besten Kryptografen der Welt entgangen war — aber die Unsicherheit selbst ist das Marktrisiko.
Marktauswirkungen
ZEC fiel innerhalb von 24 Stunden um 31 % auf 40,64 $, Stand 23:00 Uhr ET am Donnerstag, wobei der Großteil des Rückgangs in den fünf Stunden nach der öffentlichen Bekanntgabe von Shielded Labs stattfand. Der Verkaufsdruck spiegelt wider, dass der Markt die Unsicherheit über die Integrität des Angebots einpreist: Wenn gefälschtes ZEC im Orchard-Pool existiert, ist das tatsächliche zirkulierende Angebot unbekannt.
WuBlockchain
CoinTelegraph
CoinDesk
Glassnode