Aamupäivä minuutti
Aamupäivä minuutti on päivittäinen uutiskirje, jonka on kirjoittanut Tyler Warner. Analyysit ja mielipiteet ovat hänen omiaan eivätkä välttämättä heijasta Decryptin näkemyksiä.
Tänään tärkeimmät uutiset
29. toukokuuta turvallisuustutkija Taylor Hornby löysi kriittisen haavoittuvuuden Zcashin Orchard-yksityisyysaltaasta, joka olisi mahdollistanut hyökkääjän luoda rajattomasti väärennettyä ZEC:tä. Hornby, joka palkattiin ZCash-tiimin toimesta tätä varten, käytti löytöönsä Anthropicin Claude Opus 4.8:aa. 1. kesäkuuta mennessä Zcash-ekosysteemi oli ottanut käyttöön hätäkorjauksen, joka ratkaisi ongelman – vaikka se oli ollut hyödynnettävissä viimeiset neljä vuotta.
Haavoittuvuuden yksityiskohdat
Mikä haavoittuvuus oli: Orchard-allas, Zcashin edistynein suojattu transaktio-kerros, joka on ollut aktiivinen toukokuusta 2022, käyttää nollatietoprotokollia validoidakseen transaktioita paljastamatta määriä tai osanottajia. Virhe yksinkertaisissa termeissä: erityinen tarkistus, jonka piti validoida transaktioiden syötteet, ei todellisuudessa valvonut sääntöjä, joita sen oli tarkoitus valvoa.
Hyökkääjä, joka löysi tämän virheen, saattoi syöttää vääriä syötteitä tuohon tarkistukseen ja saada sen läpi – luoden ZEC:tä tyhjästä, ZK-to証明usjärjestelmän siunatessa petollisen transaktion päteväksi.
Hornby kirjoitti Opus 4.8:n avustuksella täydellisen toimivan hyökkäyksen. Hän testasi sitä paikallisessa ympäristössä, ja se toimi: rajaton, havaitsematon väärennetty ZEC, erottamaton laillisista kolikoista. Hän ilmoitti löydöksestään heti ZODL:lle, Zcashin koordinoivalle kehitysorganisaatiolle, sen sijaan että olisi käyttänyt sitä pääverkossa.
Hyökkäyksen vaikutus
Miksi hyökkäyksen vaikutus on tuntematon: Koska Orchard on yksityisyysallas, ei ole mahdollista kryptografisesti määrittää, oliko tätä haavoittuvuutta hyödynnetty toukokuun 2022 ja kesäkuun 2026 välillä. Yksityisyysominaisuudet, jotka tekevät Orchardista arvokkaan, ovat samoja ominaisuuksia, jotka tekevät hyödyntämisestä havaitsematonta. Nyt Hornbyn palkannut tiimi sanoo, että aikaisempi hyödyntäminen on epätodennäköistä.
Virhe vältti vuosien tarkastelun maailmanluokan kryptografiasta, ja löytö vaati huipputeknisiä AI-työkaluja, jotka ovat saatavilla vain valkohattuhakkereille.
Korjausikkuna oli kapea, mutta he olivat selkeitä: käyttäjien ei pitäisi luottaa vain heidän arvioonsa.
Seuraavat askeleet
Mitä seuraavaksi: Shielded Labs ehdottaa verkon päivitystä, joka ottaisi käyttöön uuden suojatun altaan ja valvoisi ”turnstile-kirjanpitoa” kaikille Orchard-altaan kolikoille. Tämä pakottaisi käytännössä jokaisen olemassa olevan Orchard-kolikon kulkemaan läpi varmennettavan tarkistuspisteen, joka paljastaisi kaikki väärennetyt varat. Tämä vaatii laajaa yhteisön hallintotukea ja standardin Zcash-verkon päivitysprosessin. Yksityiskohtainen ehdotus odotetaan ensi viikolla.
Shielded Labs aloittaa myös virallisesti projektin, jonka tarkoituksena on matemaattisesti vahvistaa koko Orchard-piiri alusta alkaen, ja he palkkaavat turvallisuusjohtajan ja kryptografin.
Tärkeys Zcashin ulkopuolella
Miksi tämä on tärkeää Zcashin ulkopuolella: Tämä on selkein todellinen esimerkki siitä, mitä Anthropicin kyvykkäin AI-malli voi tehdä asiantuntevan turvallisuustutkijan käsissä. Hornby käytti Opus 4.8:aa, joka julkaistiin julkisesti 28. toukokuuta, ja 24 tunnin kuluessa sen julkaisusta hän löysi neljä vuotta vanhan kriittisen virheen, joka oli selviytynyt useista asiantuntijakatselmuksista.
Ja tämä oli vain Opus 4.8. Mythos on tulossa pian, ja sen jälkeen tulee parempia malleja.
Jokaisen kryptoprotokollan on oltava varuillaan – yritä hakkeroida/hyödyntää omaa protokollaasi palkatuilla valkohattuhakkereilla. Tai heitä noppaa ja odota, että mustahattuhakkerit tekevät sen puolestasi. Kello tikittää, ja laajemman kryptotilan lyhyen aikavälin kohtalo on todennäköisesti vaakalaudalla.
