Zcash (zec) è crollata del 31% dopo che i ricercatori hanno divulgato una falla critica che avrebbe potuto consentire agli attaccanti di creare una quantità illimitata di monete false all’interno del pool Orchard, incentrato sulla privacy, della rete, anche se gli sviluppatori affermano che il bug è stato corretto prima di qualsiasi sfruttamento noto.
Vulnerabilità di Zcash
Un gruppo di supporto indipendente, Shielded Labs, ha rivelato giovedì che l’ingegnere di sicurezza Taylor Hornby ha scoperto una grave vulnerabilità nel pool di transazioni Orchard di Zcash durante una revisione del protocollo iniziata ad aprile.
Il difetto interessava Orchard, il pool schermato della rete che utilizza prove a conoscenza zero per verificare le transazioni private. Secondo Shielded Labs, la vulnerabilità consentiva a un attaccante di inviare input falsi durante un processo di moltiplicazione su curva ellittica, pur superando comunque la validazione della transazione, potenzialmente permettendo la creazione di una quantità illimitata di ZEC contraffatti.
Hornby ha individuato il problema il 29 maggio utilizzando una combinazione di analisi di sicurezza tradizionale e ricerca assistita dall’IA, incluso il modello Opus 4.8 di Anthropic. Ha segnalato immediatamente i risultati agli ingegneri dello Zcash Open Development Lab e la vulnerabilità è stata corretta il 1° giugno.
I ricercatori hanno dichiarato di aver creato con successo un exploit proof-of-concept in un ambiente di test locale, dimostrando che il difetto era reale e poteva generare ZEC contraffatti non rilevabili in condizioni controllate.
Also Read: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Scoperta tramite IA
Nonostante la gravità della vulnerabilità, Shielded Labs afferma che uno sfruttamento effettivo appare improbabile. Il difetto esisteva fin dal lancio di Orchard nel maggio 2022, ma era rimasto inosservato nonostante le estese revisioni da parte di crittografi e ricercatori di sicurezza.
L’organizzazione ha dichiarato che la scoperta è il risultato di uno sforzo mirato a identificare vulnerabilità avanzate prima che possano essere trovate da attori malevoli. I ricercatori hanno combinato strumenti di IA rilasciati di recente con flussi di lavoro di sicurezza personalizzati progettati per accelerare l’analisi del codice e la ricerca di vulnerabilità.
Poiché le transazioni Orchard sono private per progettazione, gli investigatori non possono determinare in modo definitivo se il bug sia mai stato sfruttato. Tuttavia, Shielded Labs afferma che al momento non ci sono prove che suggeriscano che siano state create monete false sulla rete principale.
Il team sta ora valutando un aggiornamento della rete che consentirebbe agli utenti di verificare in modo indipendente l’integrità dell’offerta di Zcash.
La proposta prevede il lancio di un nuovo pool schermato e l’introduzione di ulteriori meccanismi di contabilizzazione per dimostrare che non esistono ZEC contraffatti all’interno di Orchard.
La divulgazione ha innescato una forte reazione del mercato.
ZEC è sceso a circa 383 $ nella mattinata di venerdì, in calo del 36% nelle precedenti 24 ore, con gran parte della flessione avvenuta nelle ore successive all’annuncio pubblico. Il token ha vissuto diversi periodi di estrema volatilità negli ultimi anni, reagendo spesso con forza agli sviluppi riguardanti la tecnologia per la privacy, la regolamentazione e la sicurezza della rete.
Read Next: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps