Zcash (zec) despencou 31% depois que pesquisadores divulgaram uma falha crítica que poderia ter permitido a invasores criar moedas falsas ilimitadas dentro do pool Orchard focado em privacidade da rede, embora os desenvolvedores afirmem que o bug foi corrigido antes de qualquer exploração conhecida.
Vulnerabilidade no Zcash
Um grupo de suporte independente, Shielded Labs, revelou na quinta-feira que o engenheiro de segurança Taylor Hornby descobriu uma vulnerabilidade grave no pool de transações Orchard do Zcash durante uma revisão de protocolo iniciada em abril.
A falha afetava o Orchard, o pool protegido da rede que usa provas de conhecimento zero para verificar transações privadas. Segundo a Shielded Labs, a vulnerabilidade permitia que um invasor enviasse entradas falsas durante um processo de multiplicação em curva elíptica e ainda assim passasse na validação da transação, potencialmente possibilitando a criação ilimitada de ZEC falsos.
Hornby identificou o problema em 29 de maio usando uma combinação de análise de segurança tradicional e pesquisa assistida por IA, incluindo o modelo Opus 4.8 da Anthropic. Ele relatou imediatamente as descobertas aos engenheiros do Zcash Open Development Lab, e a vulnerabilidade foi corrigida em 1º de junho.
Os pesquisadores disseram que conseguiram criar um exploit de prova de conceito em um ambiente de testes local, demonstrando que a falha era real e podia gerar ZEC falsos indetectáveis em condições controladas.
Também leia: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Descoberta por IA
Apesar da gravidade da vulnerabilidade, a Shielded Labs afirmou que a exploração real parece improvável. A falha existia desde o lançamento do Orchard em maio de 2022, mas permaneceu despercebida apesar de extensas revisões por criptógrafos e pesquisadores de segurança.
A organização afirmou que a descoberta resultou de um esforço direcionado para identificar vulnerabilidades avançadas antes que agentes mal-intencionados as encontrassem. Os pesquisadores combinaram ferramentas de IA lançadas recentemente com fluxos de trabalho de segurança personalizados, projetados para acelerar a análise de código e a busca por vulnerabilidades.
Como as transações do Orchard são privadas por padrão, os investigadores não podem determinar de forma conclusiva se o bug já foi explorado. No entanto, a Shielded Labs disse que, no momento, não há evidências de que moedas falsas tenham sido criadas na rede principal.
A equipe agora avalia uma atualização de rede que permitiria aos usuários verificar de forma independente a integridade da oferta de Zcash.
A proposta inclui a implantação de um novo pool protegido e a introdução de mecanismos adicionais de contabilização para provar que não existem ZEC falsos dentro do Orchard.
A divulgação desencadeou uma forte reação do mercado.
O ZEC caiu para cerca de US$ 383 na manhã de sexta-feira, queda de 36% em relação às 24 horas anteriores, com grande parte do declínio ocorrendo em poucas horas após o anúncio público. O token passou por vários períodos de extrema volatilidade nos últimos anos, muitas vezes reagindo fortemente a desenvolvimentos relacionados à tecnologia de privacidade, regulamentação e segurança da rede.
Leia a seguir: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps