Zcash a divulgué vendredi une vulnérabilité critique, vieille de quatre ans, qui pouvait permettre de créer des pièces contrefaites, selon Shielded Labs, une organisation qui soutient le développement de Zcash. Le bug a été corrigé plus tôt cette semaine. En raison des fonctionnalités de confidentialité de Zcash, qui masquent les détails des transactions, il n’existe pas de moyen définitif de déterminer, en ne s’appuyant que sur la cryptographie, si la vulnérabilité a été exploitée, a déclaré Shielded Labs dans sa divulgation. Des cryptomonnaies axées sur la confidentialité comme Zcash utilisent des preuves à connaissance nulle pour permettre aux utilisateurs de passer entre des types d’adresses transparentes et protégées, créant des compromis inhérents entre la confidentialité des transactions et la possibilité d’auditer la fourniture.
Le prix de Zcash chute de 33% après la divulgation d’une vulnérabilité
Zcash a plongé pour atteindre son plus bas niveau en plus d’un mois après cette divulgation. L’actif numérique a récemment changé de mains autour de 350 dollars, soit une baisse de 33% sur la journée écoulée, d’après CoinGecko, après être tombé en dessous de 265 dollars dans la nuit. Zcash permet aux utilisateurs de masquer les détails des transactions, avec une conception qui permet de basculer entre des types d’adresses soit transparentes soit protégées à l’aide de preuves à connaissance nulle.
Les fonctions de confidentialité empêchent un audit définitif de l’ampleur de l’exploitation
« Il n’existe aucun moyen définitif de déterminer, en n’utilisant que la cryptographie, si une telle exploitation s’est produite », a déclaré Shielded Labs dans sa divulgation, notant que la vulnérabilité vieille de quatre ans a été corrigée plus tôt cette semaine. Rob Hamilton, PDG de la société d’assurance Bitcoin AnchorWatch, a soutenu sur X : « Cela se reproduira encore dans Zcash. Vous ne pourrez tout simplement jamais le prouver parce que vous ne pouvez pas auditer l’offre. »
Des experts citent des précédents historiques dans les vulnérabilités de cryptos de confidentialité
Nic Carter, associé fondateur du fonds d’investissement Castle Island Ventures, a déclaré à Decrypt que le compromis entre confidentialité et auditabilité n’est pas une notion étrangère pour les personnes qui suivent le marché crypto depuis des années. Il a pointé un bug de Zcash découvert en 2018 qui aurait théoriquement permis à des acteurs malveillants de frapper des pièces contrefaites, avant d’être corrigé l’année suivante. En 2017, le principal concurrent de Zcash, Monero, a également corrigé un bug qui permettait la création d’un nombre illimité de pièces.
« Je ne pense pas que ce soit terminé pour Zcash », a ajouté Carter. « Certains nouveaux arrivants dans le secteur, ils pourraient être un peu perturbés par ça, mais c’est essentiellement une partie de l’accord. »
Seth Simmons, directeur des opérations de Cake Wallet, a salué Shielded Labs sur X pour avoir corrigé l’exploitation rapidement, en travaillant avec les parties prenantes, et en faisant preuve de franchise et de transparence pour que tout l’écosystème de Zcash puisse s’améliorer. « Aucun membre de la communauté Monero ne devrait chercher à “dunker” sur Zcash », a-t-il ajouté. « C’est une conséquence naturelle du fait de construire la confidentialité comme paramètre par défaut dans ces systèmes. »
Un modèle d’IA identifie une vulnérabilité dans les systèmes de preuves à connaissance nulle
La vulnérabilité a été identifiée à l’aide du modèle Claude Opus 4.8 récemment publié d’Anthropic, selon Shielded Labs. Carlos Guzman, vice-président de la recherche au sein de la société de trading crypto GSR, a déclaré à Decrypt que ce développement a des implications « un peu préoccupantes ».
« Il n’y a pas beaucoup d’experts qui sont familiers avec ces circuits, donc ils sont en quelque sorte difficiles à pirater », a ajouté Guzman, en faisant référence à des systèmes qui utilisent des preuves à connaissance nulle. « Mais avec l’IA, [...] la capacité à trouver des bugs dans ces systèmes est en train de se démocratiser. »
FAQ
Quelle vulnérabilité Zcash a-t-il divulguée vendredi ?
Zcash a divulgué une vulnérabilité critique vieille de quatre ans, qui avait le potentiel de créer des pièces contrefaites. Shielded Labs a indiqué que le bug a été corrigé plus tôt cette semaine, mais a noté qu’il n’existe aucun moyen définitif de déterminer, en ne s’appuyant que sur la cryptographie, si la vulnérabilité a été exploitée, en raison des fonctionnalités de confidentialité de Zcash.
Comment la divulgation de la vulnérabilité a-t-elle affecté le prix de Zcash ?
Zcash a chuté de 33% sur la journée écoulée, les échanges s’établissant récemment autour de 350 dollars selon CoinGecko, après être tombé en dessous de 265 dollars dans la nuit. L’actif numérique a plongé pour atteindre son plus bas niveau en plus d’un mois après la divulgation de vendredi.
Comment la vulnérabilité de Zcash a-t-elle été identifiée ?
La vulnérabilité a été identifiée à l’aide du modèle Claude Opus 4.8 récemment publié d’Anthropic, selon Shielded Labs. Carlos Guzman de GSR a déclaré à Decrypt que l’IA démocratise la capacité à trouver des bugs dans les systèmes de preuves à connaissance nulle, qui sont généralement difficiles à pirater en raison de la familiarité limitée des experts avec ces circuits.
