Zcash (ZEC), uma criptomoeda focada em privacidade, divulgou em 4 de junho uma vulnerabilidade crítica que poderia ter permitido a criação ilimitada de moedas falsas na área de transações de privacidade do Orchard Pool. O pesquisador de segurança Taylor Hornby descobriu a falha em 29 de maio usando o modelo de IA Opus 4.8 da Anthropic, ao auditar o código do Orchard Circuit. A vulnerabilidade surgiu de condições de restrição insuficientes no processo de verificação de operações com curvas elípticas, permitindo que a validação passasse mesmo com valores de entrada incorretos. O fundador da Zcash, Zooko Wilcox, anunciou via X que patches de emergência foram implementados em todo o ecossistema, citando um relatório da empresa de desenvolvimento Shielded Labs. A falha existia desde a ativação do Orchard Pool em maio de 2022, permanecendo não detectada por quatro anos, apesar de revisões de importantes criptógrafos.
Taylor Hornby Descobre Vulnerabilidade Usando o Modelo de IA Anthropic Opus 4.8
Taylor Hornby identificou a vulnerabilidade em 29 de maio ao examinar o Orchard Circuit usando o mais recente modelo de IA Opus 4.8 da Anthropic. A descoberta ocorreu durante uma auditoria rotineira de segurança da infraestrutura de transações de privacidade da Zcash. Zooko Wilcox citou os achados de Hornby em uma postagem no X em 4 de junho, que incluía o relatório da Shielded Labs detalhando a natureza técnica da falha.
Falha na Verificação de Curvas Elípticas Permitiu Criação Ilimitada de ZEC
De acordo com o relatório da Shielded Labs, a vulnerabilidade surgiu de condições de restrição insuficientes no processo de verificação de operações com curvas elípticas dentro do Orchard Circuit. Essa fraqueza permitiu que atacantes usassem valores de entrada incorretos que ainda assim passariam nas verificações de validação, teoricamente possibilitando a criação de tokens ZEC falsificados ilimitados. A falha afetava especificamente o Orchard Pool, a área de transações de privacidade da Zcash criada para ocultar detalhes de transações da visualização pública.
Shielded Labs Conclui Implantação de Patch de Emergência
Zooko Wilcox afirmou que medidas de resposta emergencial corrigiram a vulnerabilidade e que os patches foram concluídos em todo o ecossistema. A vulnerabilidade existiu de maio de 2022, quando o Orchard Pool foi ativado, até sua descoberta em 29 de maio. A Shielded Labs observou que é impossível provar criptograficamente se a vulnerabilidade foi de fato explorada durante esse período de quatro anos. O relatório afirmou que, embora não exista método para confirmar se houve falsificação antes do patch, a probabilidade de exploração prévia é considerada baixa, já que a falha escapou da detecção por criptógrafos de nível mundial por anos e só foi descoberta por meio de uma pesquisa de segurança baseada em IA de ponta.
Shielded Labs Discute Implementação do Turnstile Accounting
A Shielded Labs está discutindo a introdução de um novo pool de privacidade e a aplicação do Turnstile Accounting aos ativos existentes do Orchard Pool. A empresa disse que essa abordagem permitiria que qualquer pessoa verificasse a integridade do fornecimento total da Zcash e confirmasse se existem moedas falsificadas dentro do Orchard Pool.
Preço da ZEC Cai 17,04% para US$ 447 Após Divulgação
Em 5 de junho, a ZEC estava sendo negociada a US$ 447 (aproximadamente 687.200 won sul-coreano), segundo dados da CoinGecko. Isso representou uma queda de 17,04% nas últimas 24 horas após a divulgação da vulnerabilidade.
FAQ
Como os pesquisadores descobriram a vulnerabilidade da Zcash?
Taylor Hornby descobriu a vulnerabilidade em 29 de maio usando o modelo de IA Opus 4.8 da Anthropic, ao auditar o código do Orchard Circuit. A análise assistida por IA identificou condições de restrição insuficientes no processo de verificação de operações com curvas elípticas que haviam escapado da detecção por criptógrafos de ponta por quatro anos.
Alguém consegue confirmar se a vulnerabilidade foi explorada antes do patch?
A Shielded Labs afirmou que é impossível provar criptograficamente se a vulnerabilidade foi de fato explorada durante o período de quatro anos de maio de 2022 até 29 de maio. O relatório destacou que, embora não exista método de verificação, a probabilidade de exploração prévia é considerada baixa devido à complexidade da falha e às ferramentas avançadas de IA necessárias para sua descoberta.
Quais medidas a Zcash está implementando para impedir falsificações futuras?
A Shielded Labs está discutindo a introdução de um novo pool de privacidade e a aplicação do Turnstile Accounting aos ativos existentes do Orchard Pool. A empresa afirmou que essa abordagem permitiria que qualquer pessoa verificasse a integridade do fornecimento total da Zcash e confirmasse se existem moedas falsificadas dentro do Orchard Pool.
