Zcash (zec) despencou 31% depois que pesquisadores divulgaram uma falha crítica que poderia ter permitido a invasores criar uma quantidade ilimitada de moedas falsas dentro do pool Orchard voltado à privacidade da rede, embora os desenvolvedores afirmem que o bug foi corrigido antes de qualquer exploração conhecida.
Vulnerabilidade no Zcash
Um grupo de suporte independente, a Shielded Labs, revelou na quinta-feira que o engenheiro de segurança Taylor Hornby descobriu uma vulnerabilidade grave no pool de transações Orchard do Zcash durante uma revisão de protocolo iniciada em abril.
A falha afetava o Orchard, o pool protegido da rede que utiliza provas de conhecimento zero para verificar transações privadas. Segundo a Shielded Labs, a vulnerabilidade permitia que um invasor enviasse entradas falsas durante um processo de multiplicação em curva elíptica, ainda assim passando na validação da transação, o que potencialmente possibilitava a criação de ZEC falsos em quantidade ilimitada.
Hornby identificou o problema em 29 de maio usando uma combinação de análise de segurança tradicional e pesquisa assistida por IA, incluindo o modelo Opus 4.8 da Anthropic. Ele relatou imediatamente as descobertas aos engenheiros do Zcash Open Development Lab, e a vulnerabilidade foi corrigida em 1º de junho.
Pesquisadores disseram ter conseguido criar um exploit de prova de conceito em um ambiente de testes local, demonstrando que a falha era real e podia gerar ZEC falsos indetectáveis em condições controladas.
Veja também: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Descoberta com IA
Apesar da gravidade da vulnerabilidade, a Shielded Labs afirmou que a exploração real parece improvável. A falha existia desde o lançamento do Orchard em maio de 2022 e ainda assim passou despercebida, apesar de extensas revisões feitas por criptógrafos e pesquisadores de segurança.
A organização afirmou que a descoberta resultou de um esforço direcionado para identificar vulnerabilidades avançadas antes que agentes mal-intencionados pudessem encontrá-las. Os pesquisadores combinaram ferramentas de IA recém-lançadas com fluxos de trabalho de segurança personalizados, projetados para acelerar a análise de código e a caça a vulnerabilidades.
Como as transações do Orchard são privadas por definição, os investigadores não podem determinar de forma conclusiva se o bug chegou a ser explorado. No entanto, a Shielded Labs disse que, até o momento, não há evidências de que moedas falsas tenham sido criadas na rede em produção.
A equipe agora está avaliando uma atualização de rede que permitiria aos usuários verificar de forma independente a integridade da oferta de Zcash.
A proposta inclui a implantação de um novo pool protegido e a introdução de mecanismos adicionais de contabilidade para provar que não existem ZEC falsos dentro do Orchard.
A divulgação desencadeou uma forte reação do mercado.
O ZEC caiu para cerca de US$ 383 no início da sexta-feira, 36% abaixo das 24 horas anteriores, com grande parte da queda ocorrendo em poucas horas após o anúncio público. O token passou por vários períodos de extrema volatilidade nos últimos anos, frequentemente reagindo de forma intensa a acontecimentos relacionados à tecnologia de privacidade, regulação e segurança da rede.
Leia a seguir: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps