Zcash (zec), araştırmacıların saldırganların ağın gizliliğe odaklı Orchard havuzu içinde sınırsız sahte coin oluşturmasına izin verebilecek kritik bir hata açıkladığını duyurmasının ardından %31 düştü; geliştiriciler, bilinen herhangi bir istismardan önce hatanın düzeltildiğini söylüyor.
Zcash Açığı
Bağımsız bir destek grubu olan Shielded Labs, Nisan ayında başlayan bir protokol incelemesi sırasında güvenlik mühendisi Taylor Hornby’nin Zcash’in Orchard işlem havuzunda ciddi bir güvenlik açığı keşfettiğini Perşembe günü açıkladı.
Söz konusu hata, özel işlemleri doğrulamak için sıfır bilgi ispatları kullanan ağın gizli havuzu Orchard’ı etkiledi. Shielded Labs’e göre bu açık, bir saldırganın eliptik eğri çarpımı işlemi sırasında sahte girdiler gönderirken yine de işlem doğrulamasını geçmesine izin veriyor, böylece teorik olarak sınırsız miktarda sahte ZEC üretimini mümkün kılıyordu.
Hornby, 29 Mayıs’ta geleneksel güvenlik analizi ile Anthropic’in Opus 4.8 modeli de dahil olmak üzere yapay zeka destekli araştırmanın bir kombinasyonunu kullanarak sorunu tespit etti. Bulgularını derhal Zcash Open Development Lab’deki mühendislere bildirdi ve güvenlik açığı 1 Haziran’da yamalandı.
Araştırmacılar, yerel bir test ortamında bir kavram kanıtı (proof-of-concept) istismarı oluşturmayı başardıklarını; bu sayede açığın gerçek olduğunu ve kontrollü koşullar altında tespit edilemeyen sahte ZEC üretebildiğini gösterdiklerini belirtti.
Ayrıca Oku: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Yapay Zeka ile Keşif
Açığın ciddiyetine rağmen Shielded Labs, pratikte istismar edilmiş olmasının pek olası görünmediğini söylüyor. Hata, Orchard’ın Mayıs 2022’deki lansmanından bu yana mevcuttu ancak kriptograflar ve güvenlik araştırmacıları tarafından yapılan kapsamlı incelemelere rağmen fark edilmedi.
Kuruluş, keşfin, kötü niyetli aktörler bulmadan önce gelişmiş güvenlik açıklarını tespit etmeye yönelik hedefli bir çabanın sonucu olduğunu ifade etti. Araştırmacılar, yakın zamanda yayınlanan yapay zeka araçlarını, kod analizini ve zafiyet avını hızlandırmak için tasarlanmış özel güvenlik iş akışlarıyla birleştirdi.
Orchard işlemleri tasarım gereği gizli olduğundan, araştırmacılar hatanın gerçekte istismar edilip edilmediğini kesin olarak tespit edemiyor. Ancak Shielded Labs, şu anda canlı ağda sahte coin üretildiğine işaret eden herhangi bir kanıt bulunmadığını vurguluyor.
Ekip, kullanıcıların Zcash arzının bütünlüğünü bağımsız olarak doğrulamasına olanak tanıyacak bir ağ yükseltmesini değerlendiriyor.
Teklif, yeni bir gizli havuzun devreye alınmasını ve Orchard içinde sahte ZEC bulunmadığını kanıtlamak için ek muhasebe mekanizmalarının getirilmesini içeriyor.
Açıklama sert bir piyasa tepkisini tetikledi.
ZEC, Cuma sabahı yaklaşık 383 dolara gerileyerek son 24 saatte %36 düştü ve bu düşüşün büyük kısmı kamuya duyurunun ardından birkaç saat içinde gerçekleşti. Token, son yıllarda özellikle gizlilik teknolojisi, regülasyon ve ağ güvenliği ile ilgili gelişmelere sert tepki veren aşırı dalgalanma dönemleri yaşadı.
Sıradaki Haber: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps