Zcash потеряла более 5 миллиардов долларов рыночной капитализации после того, как ее разработчики, используя Claude AI от Anthropic, обнаружили давний дефект в одной из своих систем конфиденциальности, который мог позволить создавать поддельные токены без легкого обнаружения.
В ответ на это раскрытие данных, согласно данным CryptoSlate, ZEC упала более чем на 50% до минимума в $255, прежде чем восстановиться примерно до $321 на момент публикации. Это резкий разворот для актива, который за последний год вырос более чем на 1000% на фоне возобновления трейдерами более широких ставок на финансовую конфиденциальность.
Снижение цены привело к падению рыночной капитализации токена, ориентированного на конфиденциальность, с примерно 10 миллиардов долларов до примерно 4,5 миллиарда долларов за отчетный период. На момент публикации она выросла до 5,3 миллиарда долларов.
Тем не менее, разработчики Zcash утверждают, что уязвимость была найдена до того, как злоумышленники смогли ее использовать, исправлена в течение нескольких дней и устранена посредством экстренного обновления сети.
Однако это раскрытие затронуло более сложный вопрос для инвесторов Zcash: насколько велика должна быть уверенность рынков, когда затронутая система по своей сути создана для сокрытия сумм транзакций и истории кошельков.
Ралли приватных денег прервано публичным раскрытием
Zcash была запущена в 2016 году как одна из первых попыток создать частные цифровые деньги. В отличие от Биткойна, чей реестр позволяет любому отслеживать балансы и транзакции,
Zcash позволяет пользователям перемещать средства через зашифрованные адреса, которые скрывают суммы, отправителей и получателей. Такая конструкция придала токену новую актуальность по мере того, как правительства, биржи и аналитические фирмы расширяли свои возможности по мониторингу публичных блокчейнов.
Данные с Zechub показывают, что примерно 30% циркулирующих ZEC, что эквивалентно более чем 5 миллионам монет, в настоящее время находятся на зашифрованных адресах.
Недавний рост отразил этот сдвиг. Трейдеры рассматривали ZEC как один из самых очевидных инструментов для игры на конфиденциальности, чему способствовала растущая тревога по поводу слежки, искусственного интеллекта и доступа государств к финансовым данным.
Однако этот импульс резко сменился после того, как Shielded Labs опубликовала подробное раскрытие информации об уязвимости в Orchard, самом передовом зашифрованном пуле Zcash.
Shielded Labs сообщила, что дефект был обнаружен 29 мая Тейлором Хорнби, инженером по безопасности, которого компания наняла в апреле для поиска уязвимостей протокола до того, как их найдут злоумышленники.
Хорнби использовал модель искусственного интеллекта Opus 4.8 от Anthropic при проведении целенаправленного обзора криптографической схемы Orchard.
Обзор выявил ошибку, которая могла позволить злоумышленнику создать поддельные ZEC внутри Orchard без обнаружения. Shielded Labs заявила, что Хорнби написал полный эксплойт и протестировал его в локальной среде, где он сгенерировал неограниченное количество поддельных ZEC, которые выглядели действительными.
Хорнби немедленно сообщил о проблеме в Zcash Open Development Lab, которая координировала экстренное реагирование.
Затем разработчики сети ввели временное изменение сети для отключения затронутых действий Orchard, прежде чем выпустить обновление хардфорка, которое устранило уязвимость и восстановило полную функциональность.
Ошибка находилась внутри зашифрованного пула Zcash годами
Уязвимость была особенно чувствительной, поскольку Orchard активен с мая 2022 года. Это означает, что дефект существовал около четырех лет, несмотря на неоднократные проверки криптографами, инженерами и аудиторами.
Для неспециалиста эту проблему можно понять как дефект в своде правил, регулирующих частные транзакции Zcash.
Зашифрованная транзакция включает математическое доказательство того, что она соответствует правилам протокола, не раскрывая сумму или историю монет. В случае Orchard одно из этих правил было сформулировано настолько расплывчато, что ложная информация могла быть принята за действительную.
По сути, этот дефект заключался в реализации схемы Orchard — набора инструкций, определяющих, должна ли быть принята частная транзакция.
В прозрачном блокчейне проблему с предложением легче проверить, поскольку балансы и переводы видны. В зашифрованном пуле система намеренно скрывает эту информацию, и пользователи полагаются на правильность схемы, чтобы гарантировать, что каждая частная транзакция соответствует правилам.
Мерт Мумтаз, соучредитель и генеральный директор Helius, отметил, что большинство протоколов конфиденциальности имеют эту уязвимость, утверждая, что:
«Теоретически, в протоколе конфиденциальности zk (не только zcash), может быть ошибка в схеме, которая раздувает предложение, при условии, что ее найдет кто-то чрезвычайно сложный и как-то использует, не будучи обнаруженным (разница с обычным эксплойтом DeFi в том, что его труднее обнаружить)».
Это одна из причин, по которой реакция рынка на случай Zcash была столь резкой.
Хотя разработчики Zcash заявили, что нет никаких доказательств того, что ошибка была использована, и несколько сторонников Zcash утверждали, что быстрое раскрытие и исправление продемонстрировали работу процесса безопасности сети.
Для справки, соучредитель GeminiКэмерон Уинклвоссзаявил:
«Zcash обладает непревзойденными криптографами, инженерами по безопасности и исследователями безопасности. И сообщество в значительной степени сосредоточено на постоянном совершенствовании и укреплении сети. Вот почему оно привлекает исследователей безопасности мирового класса для поиска ошибок. И вот почему был найден недавний потенциальный эксплойт. Это не случайно, и это скорее знак доверия, чем повод для беспокойства».
Однако у монет конфиденциальности маржа для сомнений уже. Их ценность зависит не только от секретности, но и от уверенности в том, что секретность не ослабила лежащие в основе денежные гарантии.
Из-за этого соучредитель BitMEXАртур Хейс заявил, что продал всю свою позицию в ZEC после переоценки тезиса о конфиденциальности. Хейс сказал, что маловероятно, что были созданы поддельные ZEC, но невозможность формально доказать это изменила его взгляд на сделку.
Он заявил:
«Повествование о конфиденциальности от ИИ, правительства, больших технологий требует совершенства, а не маловероятности».
Shielded Labs признала эту неопределенность напрямую и согласилась с тем, что не существует однозначного способа определить только по криптографии, произошло ли использование до исправления.
Предлагаемое исправление возвращает бремя проверки
Учитывая текущую неопределенность на рынке, Shielded Labs предложила обновление сети, которое создаст новый зашифрованный пул и будет использовать учетную запись «турникет» для монет, мигрирующих из Orchard.
Наблюдатели рынка отметили, что это предложение является попыткой ответить на центральную обеспокоенность рынка. Если Zcash не может доказать только на основании внутренних записей Orchard, что поддельные монеты никогда не создавались, она может попытаться форсировать путь миграции, который согласует стоимость по мере перемещения монет в новую систему.
Этот процесс будет технически сложным и социально чувствительным. Если поддельных ZEC не существует, миграция может помочь восстановить доверие. Если возникнет несоответствие, сообществу придется столкнуться с более сложными вопросами о том, какие балансы следует уважать и как защитить пользователей, которые держали средства в затронутом пуле.
Тем временем Джош Свихарт, основатель фирмы ZODL, специализирующейся на Zcash, заявил, что более важным долгосрочным вопросом является то, как предотвратить повторение подобных уязвимостей. Он указал на формальную верификацию — процесс, который использует математические доказательства для подтверждения того, что реализация схемы соответствует ее предполагаемым правилам.
Формальная верификация уменьшит зависимость от человеческого обзора большого и сложного свода правил. Вместо того чтобы просить аудиторов поймать каждый крайний случай путем инспекции, разработчики могут создать краткую спецификацию и использовать проверенные компьютером доказательства, чтобы убедиться, что реализация ей соответствует.
Этот подход становится все более важным по мере усложнения систем конфиденциальности. Orchard был создан для производительности и содержит особые случаи, которые затрудняют ручной обзор. Более простая и формально верифицированная схема может уменьшить поверхность для такого рода ошибок.
Разработчики Zcash и аффилированные команды теперь проводят несколько мероприятий по обеспечению безопасности, включая продолжение работы с Хорнби, формальную верификацию схемы Orchard и дополнительный набор персонала по безопасности.
Shielded Labs также заявила, что подробное предложение по обновлениям верификации предложения может последовать в ближайшее время.
ИИ превращает старые ошибки в немедленные рыночные риски
Раскрытие информации о Zcash подчеркивает фундаментальный сдвиг в экономике безопасности программного обеспечения. Хотя искусственный интеллект не создал уязвимость Orchard, он резко сжал временные рамки между скрытым риском и его публичным обнаружением.
Это ускорение представляет собой системный вызов для более широкого сектора цифровых активов.
Криптовалютные протоколы полагаются на открытый исходный код и сложную финансовую логику для управления огромными пулами капитала, что делает их крайне привлекательными целями. Приложения децентрализованных финансов (DeFi), кроссчейн-мосты и блокчейны уровня 1 страдали от фундаментальных ошибок, пропущенных при первоначальном аудите.
Эта угроза движется достаточно быстро, чтобы вызвать тревогу у ветеранов отрасли. В прошлом месяце соучредитель OpenZeppelin Мануэль Араос призвал инвесторов полностью выйти из DeFi, предупредив, что агенты ИИ теперь способны выявлять уязвимости гораздо быстрее, чем люди-рецензенты.
Предостережение появляется на фоне растущего давления на сектор DeFi, который потерял более 1,1 миллиарда долларов из-за эксплойтов за последний год.
Усугубляет эти структурные опасения тихое представление Anthropic Claude Mythos. Модель ИИ для поиска уязвимостей была сочтена слишком опасной для публичного выпуска компанией из Сан-Франциско, что подчеркивает потенциал внезапных, необратимых потерь, если такие инструменты попадут не в те руки.
В интервью CryptoSlate Дедди Лавид, генеральный директор фирмы по безопасности блокчейна Cyvers, подчеркнул масштаб проблемы, оценив, что финансовые риски сектора, связанные с эксплойтами, управляемыми ИИ, легко составляют от сотен миллионов до миллиардов долларов.
В конечном счете, ИИ представляет собой палку о двух концах для блокчейн-инфраструктуры. По мере того как эти модели становятся все более изощренными, они резко снижают затраты и усилия, необходимые злоумышленникам для поиска слабых мест, одновременно предоставляя защитным исследователям инструменты для их более быстрого исправления.
Эта реальность двойного назначения определила реакцию видных крипто-руководителей. Председатель Grayscale Барри Зилберт охарактеризовал эпизод с Zcash как явное доказательство того, что цифровые активы полностью вошли в среду угроз, «включающую ИИ».
Тем не менее, сторонники отрасли утверждают, что основы защиты протокола остаются прежними.
Соучредитель GeminiТайлер Уинклвоссотметил, что безопасность программного обеспечения всегда была непрерывной гонкой между разработчиками и злоумышленниками.
По его словам, искусственный интеллект просто ускорил темп для обеих сторон. Он заявил:
«ИИ не меняет эту игру в кошки-мышки, он ее просто ускоряет. Каждая часть программного обеспечения должна участвовать в этой гонке. От этого никуда не деться».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Oluwapelumi Adejumo
