Zcash (zec) a chuté de 31 % après que des chercheurs ont dévoilé une faille critique qui aurait permis à des attaquants de créer un nombre illimité de coins contrefaits au sein du pool Orchard axé sur la confidentialité du réseau, même si les développeurs affirment que le bug a été corrigé avant toute exploitation connue.
Vulnérabilité de Zcash
Un groupe de soutien indépendant, Shielded Labs, a révélé jeudi que l’ingénieur en sécurité Taylor Hornby avait découvert une vulnérabilité grave dans le pool de transactions Orchard de Zcash lors d’un examen du protocole lancé en avril.
La faille touchait Orchard, le pool protégé du réseau qui utilise des preuves à divulgation nulle de connaissance pour vérifier les transactions privées. Selon Shielded Labs, la vulnérabilité permettait à un attaquant de soumettre de fausses entrées pendant un processus de multiplication sur courbe elliptique tout en passant tout de même la validation de la transaction, ce qui pouvait potentiellement permettre la création illimitée de ZEC contrefaits.
Hornby a identifié le problème le 29 mai en utilisant une combinaison d’analyse de sécurité traditionnelle et de recherche assistée par IA, incluant le modèle Opus 4.8 d’Anthropic. Il a immédiatement signalé ses conclusions aux ingénieurs du Zcash Open Development Lab, et la vulnérabilité a été corrigée le 1er juin.
Les chercheurs ont indiqué qu’ils avaient réussi à créer un exploit de preuve de concept dans un environnement de test local, démontrant que la faille était réelle et pouvait générer des ZEC contrefaits indétectables dans des conditions contrôlées.
Also Read: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Découverte grâce à l’IA
Malgré la gravité de la vulnérabilité, Shielded Labs estime qu’une exploitation réelle est peu probable. La faille existait depuis le lancement d’Orchard en mai 2022, mais était restée inaperçue malgré des examens approfondis menés par des cryptographes et des chercheurs en sécurité.
L’organisation a indiqué que la découverte résultait d’un effort ciblé visant à identifier des vulnérabilités avancées avant que des acteurs malveillants ne les trouvent. Les chercheurs ont combiné des outils d’IA récemment publiés avec des workflows de sécurité sur mesure conçus pour accélérer l’analyse de code et la chasse aux vulnérabilités.
Comme les transactions Orchard sont privées par conception, les enquêteurs ne peuvent pas déterminer avec certitude si le bug a déjà été exploité. Toutefois, Shielded Labs affirme qu’il n’existe actuellement aucune preuve suggérant que des coins contrefaits aient été créés sur le réseau en production.
L’équipe évalue maintenant une mise à niveau du réseau qui permettrait aux utilisateurs de vérifier de manière indépendante l’intégrité de l’offre de Zcash.
La proposition prévoit le déploiement d’un nouveau pool protégé et l’introduction de mécanismes comptables supplémentaires pour prouver qu’aucun ZEC contrefait n’existe au sein d’Orchard.
La divulgation a déclenché une forte réaction du marché.
Le ZEC est tombé à environ 383 $ tôt vendredi, en baisse de 36 % sur les 24 heures précédentes, une grande partie de ce recul s’étant produite dans les heures suivant l’annonce publique. Le token a connu plusieurs périodes de volatilité extrême ces dernières années, réagissant souvent vivement aux développements liés aux technologies de confidentialité, à la régulation et à la sécurité du réseau.
Read Next: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps