Zcash (zec) è crollata del 31% dopo che i ricercatori hanno rivelato una falla critica che avrebbe potuto consentire agli aggressori di creare una quantità illimitata di monete contraffatte all’interno del pool Orchard della rete, focalizzato sulla privacy, anche se gli sviluppatori affermano che il bug è stato corretto prima di qualsiasi sfruttamento noto.
Vulnerabilità di Zcash
Un gruppo di supporto indipendente, Shielded Labs, ha rivelato giovedì che l’ingegnere di sicurezza Taylor Hornby ha scoperto una grave vulnerabilità nel pool di transazioni Orchard di Zcash durante una revisione del protocollo iniziata ad aprile.
Il bug interessava Orchard, il pool schermato della rete che utilizza prove a conoscenza zero per verificare le transazioni private. Secondo Shielded Labs, la vulnerabilità consentiva a un attaccante di inviare input falsi durante un processo di moltiplicazione su curva ellittica, pur superando comunque la validazione della transazione, potenzialmente permettendo la creazione di una quantità illimitata di ZEC contraffatti.
Hornby ha identificato il problema il 29 maggio utilizzando una combinazione di analisi di sicurezza tradizionale e ricerca assistita dall’IA, incluso il modello Opus 4.8 di Anthropic. Ha riferito immediatamente le sue scoperte agli ingegneri del Zcash Open Development Lab e la vulnerabilità è stata corretta il 1° giugno.
I ricercatori hanno affermato di aver creato con successo un exploit proof‑of‑concept in un ambiente di test locale, dimostrando che il difetto era reale e poteva generare ZEC contraffatti e non rilevabili in condizioni controllate.
Da leggere anche: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Scoperta tramite IA
Nonostante la gravità della vulnerabilità, Shielded Labs ha affermato che uno sfruttamento effettivo sembra improbabile. Il difetto esisteva sin dal lancio di Orchard, a maggio 2022, ma era rimasto inosservato nonostante le ampie revisioni da parte di crittografi e ricercatori di sicurezza.
L’organizzazione ha dichiarato che la scoperta è il risultato di uno sforzo mirato a identificare vulnerabilità avanzate prima che gli attori malevoli possano trovarle. I ricercatori hanno combinato strumenti di IA rilasciati di recente con workflow di sicurezza personalizzati progettati per accelerare l’analisi del codice e la ricerca di vulnerabilità.
Poiché le transazioni Orchard sono private per progettazione, gli investigatori non possono determinare in modo definitivo se il bug sia mai stato sfruttato. Tuttavia, Shielded Labs ha dichiarato che al momento non ci sono prove che suggeriscano la creazione di monete contraffatte sulla rete live.
Il team sta ora valutando un aggiornamento della rete che consentirebbe agli utenti di verificare in modo indipendente l’integrità dell’offerta di Zcash.
La proposta prevede il lancio di un nuovo pool schermato e l’introduzione di meccanismi contabili aggiuntivi per dimostrare che non esistono ZEC contraffatti all’interno di Orchard.
La divulgazione ha scatenato una forte reazione di mercato.
ZEC è scesa a circa 383 $ nelle prime ore di venerdì, in calo del 36% rispetto alle 24 ore precedenti, con gran parte del ribasso avvenuto nelle ore successive all’annuncio pubblico. Il token ha vissuto diversi periodi di estrema volatilità negli ultimi anni, reagendo spesso in modo marcato a sviluppi legati alla tecnologia per la privacy, alla regolamentazione e alla sicurezza della rete.
Da leggere dopo: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps