Zcash (ZEC), une cryptomonnaie axée sur la confidentialité, a dévoilé une vulnérabilité critique le 4 juin qui aurait pu permettre la création illimitée de faux coins dans sa zone de transactions de confidentialité Orchard Pool. Le chercheur en sécurité Taylor Hornby a découvert le défaut le 29 mai en utilisant le modèle d’IA Opus 4,8 d’Anthropic pendant un audit du code Orchard Circuit. La vulnérabilité provenait de conditions de contraintes insuffisantes dans le processus de vérification des opérations sur courbe elliptique, permettant à la validation de passer même avec des valeurs d’entrée incorrectes. Le fondateur de Zcash, Zooko Wilcox, a annoncé via X que des correctifs d’urgence ont été déployés dans tout l’écosystème, citant un rapport du cabinet de développement Shielded Labs. Le défaut existait depuis l’activation d’Orchard Pool en mai 2022, restant non détecté pendant quatre ans malgré des revues menées par des cryptographes de premier plan.
Taylor Hornby découvre une vulnérabilité grâce au modèle d’IA Anthropic Opus 4.8
Taylor Hornby a identifié la vulnérabilité le 29 mai en examinant l’Orchard Circuit à l’aide du modèle d’IA Opus 4,8 dernier cri d’Anthropic. La découverte a eu lieu lors d’un audit de sécurité routinier de l’infrastructure de transactions confidentielles de Zcash. Zooko Wilcox a cité les conclusions de Hornby dans une publication X du 4 juin qui incluait le rapport de Shielded Labs détaillant la nature technique du défaut.
Un défaut de vérification sur courbe elliptique a permis la création illimitée de ZEC
D’après le rapport de Shielded Labs, la vulnérabilité est née de conditions de contraintes insuffisantes dans le processus de vérification des opérations sur courbe elliptique au sein d’Orchard Circuit. Cette faiblesse a permis aux attaquants d’utiliser des valeurs d’entrée incorrectes qui passeraient néanmoins les contrôles de validation, ce qui aurait théoriquement permis la création de jetons ZEC contrefaits illimités. Le défaut a spécifiquement touché Orchard Pool, la zone de transactions confidentielles de Zcash conçue pour masquer les détails des transactions au regard du public.
Shielded Labs termine le déploiement des correctifs d’urgence
Zooko Wilcox a déclaré que les mesures de réponse d’urgence avaient corrigé la vulnérabilité et que les correctifs étaient terminés dans l’ensemble de l’écosystème. La vulnérabilité existait de mai 2022, lorsque Orchard Pool a été activé, jusqu’à sa découverte le 29 mai. Shielded Labs a noté qu’il est impossible de prouver cryptographiquement si la vulnérabilité a réellement été exploitée pendant cette période de quatre ans. Le rapport indique qu’aucune méthode ne permet de confirmer si la contrefaçon a eu lieu avant le correctif, mais que la probabilité d’une exploitation antérieure est jugée faible, étant donné que le défaut a échappé à la détection par des cryptographes de niveau mondial pendant des années et n’a été découvert que grâce à une recherche en sécurité novatrice basée sur l’IA.
Shielded Labs discute de l’implémentation de Turnstile Accounting
Shielded Labs discute de l’introduction d’un nouveau pool de confidentialité et de l’application de Turnstile Accounting aux actifs existants d’Orchard Pool. L’entreprise a indiqué que cette approche permettrait à n’importe qui de vérifier l’intégrité de l’offre totale de Zcash et de confirmer si des coins contrefaits existent dans Orchard Pool.
Le prix de ZEC baisse de 17,04 % à 447 $ après l’annonce
Au 5 juin, ZEC s’échangeait à 447 $ (environ 687 200 wons sud-coréens) d’après les données de CoinGecko. Cela représentait une baisse de 17,04 % sur 24 heures après la divulgation de la vulnérabilité.
FAQ
Comment les chercheurs ont-ils découvert la vulnérabilité de Zcash ?
Taylor Hornby a découvert la vulnérabilité le 29 mai en utilisant le modèle d’IA Opus 4,8 d’Anthropic pendant un audit du code Orchard Circuit. L’analyse assistée par IA a mis en évidence des conditions de contraintes insuffisantes dans le processus de vérification des opérations sur courbe elliptique qui avaient échappé à la détection par des cryptographes de premier plan pendant quatre ans.
Peut-on confirmer si la vulnérabilité a été exploitée avant le correctif ?
Shielded Labs a déclaré qu’il est impossible de prouver cryptographiquement si la vulnérabilité a réellement été exploitée pendant la période de quatre ans allant de mai 2022 au 29 mai. Le rapport a indiqué qu’en l’absence de méthode de vérification, la probabilité d’une exploitation antérieure est considérée comme faible compte tenu de la complexité du défaut et des outils d’IA avancés nécessaires pour sa découverte.
Quelles mesures Zcash met-elle en place pour prévenir de futures contrefaçons ?
Shielded Labs discute de l’introduction d’un nouveau pool de confidentialité et de l’application de Turnstile Accounting aux actifs existants d’Orchard Pool. L’entreprise a indiqué que cette approche permettrait à n’importe qui de vérifier l’intégrité de l’offre totale de Zcash et de confirmer si des coins contrefaits existent dans Orchard Pool.
