Zcash (ZEC), eine datenschutzorientierte Kryptowährung, hat am 4. Juni eine kritische Schwachstelle offengelegt, die in seinem Orchard-Pool-Bereich für Privacy-Transaktionen eine unbegrenzte Erstellung gefälschter Coins hätte ermöglichen können. Sicherheitsforscher Taylor Hornby entdeckte den Fehler am 29. Mai mit dem KI-Modell Opus 4,8 von Anthropic, während er den Orchard-Circuit-Code prüfte. Die Schwachstelle entstand durch unzureichende Bedingungs-Constraints im Verifizierungsprozess für elliptische Kurvenoperationen, wodurch eine Validierung auch bei falschen Eingabewerten bestehen konnte. Zcash-Gründer Zooko Wilcox teilte über X mit, dass Notfall-Patches im gesamten Ökosystem ausgerollt wurden, unter Bezug auf einen Bericht des Entwicklungsteams Shielded Labs. Der Fehler bestand seit der Aktivierung des Orchard Pools im Mai 2022 und blieb vier Jahre lang unentdeckt, trotz Überprüfungen durch führende Kryptografen.
Taylor Hornby entdeckt die Schwachstelle mithilfe des Anthropic-Opus-4,8-KI-Modells
Taylor Hornby identifizierte die Schwachstelle am 29. Mai, als er sich den Orchard Circuit ansah, mithilfe des neuesten Opus-4,8-KI-Modells von Anthropic. Die Entdeckung fiel im Rahmen eines routinemäßigen Security-Audits der Privacy-Transaktionsinfrastruktur von Zcash. Zooko Wilcox verwies in einem X-Post vom 4. Juni auf die Erkenntnisse von Hornby, der den Bericht von Shielded Labs enthielt und die technische Natur des Fehlers detaillierte.
Schwachstelle bei der Verifizierung elliptischer Kurven ermöglichte unbegrenzte ZEC-Erstellung
Laut dem Bericht von Shielded Labs entstand die Schwachstelle durch unzureichende Bedingungs-Constraints im Verifizierungsprozess für elliptische Kurvenoperationen innerhalb des Orchard Circuits. Diese Schwäche erlaubte es Angreifern, falsche Eingabewerte zu verwenden, die dennoch die Validierungsprüfungen bestehen würden und theoretisch die Erstellung unbegrenzter gefälschter ZEC-Token ermöglichen könnten. Der Fehler betraf speziell den Orchard Pool, den Bereich für Privacy-Transaktionen von Zcash, der Transaktionsdetails vor der öffentlichen Ansicht schützen soll.
Shielded Labs schließt Notfall-Patch-Deployment ab
Zooko Wilcox erklärte, dass die Notfallmaßnahmen die Schwachstelle behoben hätten und dass Patches im gesamten Ökosystem abgeschlossen seien. Die Schwachstelle bestand von Mai 2022, als der Orchard Pool aktiviert wurde, bis zu ihrer Entdeckung am 29. Mai. Shielded Labs wies darauf hin, dass es unmöglich ist, kryptografisch nachzuweisen, ob die Schwachstelle in diesem Vierjahreszeitraum tatsächlich ausgenutzt wurde. Der Bericht stellte fest, dass es zwar keine Methode gibt, um zu bestätigen, ob es vor dem Patch zu Fälschungen kam, die Wahrscheinlichkeit einer früheren Ausnutzung jedoch als gering gilt, da der Fehler über Jahre hinweg der Entdeckung durch erstklassige Kryptografen entging und erst durch fortschrittliche, KI-basierte Sicherheitsforschung entdeckt wurde.
Shielded Labs diskutiert Turnstile-Accounting-Implementierung
Shielded Labs diskutiert die Einführung eines neuen Privacy-Pools und die Anwendung von Turnstile Accounting auf bestehende Orchard-Pool-Assets. Das Unternehmen erklärte, dieser Ansatz würde es ermöglichen, dass jedermann die Integrität des gesamten Zcash-Angebots verifizieren und bestätigen kann, ob sich gefälschte Coins im Orchard Pool befinden.
ZEC-Preis fällt um 17,04% auf 447 US-Dollar nach Veröffentlichung
Stand: 5. Juni wurde ZEC laut CoinGecko-Daten bei 447 US-Dollar gehandelt (ungefähr 687.200 Koreanische Won). Das entspricht einem Rückgang von 17,04% innerhalb von 24 Stunden nach der Offenlegung der Schwachstelle.
FAQ
Wie haben Forschende die Zcash-Schwachstelle entdeckt?
Taylor Hornby entdeckte die Schwachstelle am 29. Mai mithilfe des KI-Modells Opus 4,8 von Anthropic, während er den Orchard-Circuit-Code auditiert hat. Die KI-unterstützte Analyse identifizierte unzureichende Bedingungs-Constraints im Verifizierungsprozess für elliptische Kurvenoperationen, die vier Jahre lang der Entdeckung durch führende Kryptografen entgangen waren.
Kann jemand bestätigen, ob die Schwachstelle vor dem Patch ausgenutzt wurde?
Shielded Labs erklärte, dass es unmöglich ist, kryptografisch nachzuweisen, ob die Schwachstelle tatsächlich während des Vierjahreszeitraums von Mai 2022 bis 29. Mai ausgenutzt wurde. Der Bericht wies darauf hin, dass es zwar keine Verifizierungsmethode gibt, die Wahrscheinlichkeit einer früheren Ausnutzung jedoch als gering gilt, da die Schwachstelle komplex war und fortschrittliche KI-Tools für ihre Entdeckung nötig gewesen wären.
Welche Maßnahmen setzt Zcash um, um künftiges Fälschen zu verhindern?
Shielded Labs diskutiert die Einführung eines neuen Privacy-Pools und die Anwendung von Turnstile Accounting auf bestehende Orchard-Pool-Assets. Das Unternehmen erklärte, dieser Ansatz würde es ermöglichen, dass jedermann die Integrität des gesamten Zcash-Angebots verifizieren und bestätigen kann, ob sich gefälschte Coins im Orchard Pool befinden.
