Zcash (ZEC), uma criptomoeda com foco na privacidade, divulgou a 4 de junho uma vulnerabilidade crítica que poderia ter permitido a criação ilimitada de moedas contrafeitas na área de transações privadas do Orchard Pool. O investigador de segurança Taylor Hornby descobriu a falha a 29 de maio usando o modelo de IA Opus 4.8 da Anthropic, durante uma auditoria ao código do Orchard Circuit. A vulnerabilidade resultou de condições de restrição insuficientes no processo de verificação da operação sobre curvas elípticas, permitindo que a validação passasse mesmo com valores de entrada incorretos. O fundador da Zcash, Zooko Wilcox, anunciou via X que foram implementadas correções de emergência em todo o ecossistema, citando um relatório da empresa de desenvolvimento Shielded Labs. A falha existia desde a ativação do Orchard Pool em maio de 2022, permanecendo não detetada durante quatro anos, apesar de revisões por criptógrafos de topo.
Taylor Hornby descobre vulnerabilidade usando o modelo de IA Anthropic Opus 4.8
Taylor Hornby identificou a vulnerabilidade a 29 de maio ao analisar o Orchard Circuit com o mais recente modelo de IA Opus 4.8 da Anthropic. A descoberta ocorreu durante uma auditoria de segurança de rotina da infraestrutura de transações privadas da Zcash. Zooko Wilcox citou os achados de Hornby num post no X a 4 de junho que incluía o relatório da Shielded Labs, detalhando a natureza técnica da falha.
Falha na verificação de curva elíptica permitiu a criação ilimitada de ZEC
De acordo com o relatório da Shielded Labs, a vulnerabilidade surgiu de condições de restrição insuficientes no processo de verificação da operação sobre curvas elípticas dentro do Orchard Circuit. Esta fragilidade permitiu que os atacantes utilizassem valores de entrada incorretos que ainda assim passariam nas verificações de validação, permitindo teoricamente a criação de tokens ZEC contrafeitos ilimitados. A falha afetava especificamente o Orchard Pool, a área de transações privadas da Zcash concebida para ocultar detalhes das transações do olhar público.
Shielded Labs conclui implementação de correção de emergência
Zooko Wilcox afirmou que as medidas de resposta urgente corrigiram a vulnerabilidade e que as correções foram concluídas em todo o ecossistema. A vulnerabilidade existiu desde maio de 2022, quando o Orchard Pool foi ativado, até à sua descoberta a 29 de maio. A Shielded Labs referiu que não é possível provar criptograficamente se a vulnerabilidade foi de facto explorada durante este período de quatro anos. O relatório indicou que, embora não exista um método para confirmar se houve contrafação antes da correção, a probabilidade de exploração prévia é considerada baixa, dado que a falha escapou à deteção por criptógrafos de nível mundial durante anos e só foi detetada através de investigação avançada de segurança baseada em IA.
Shielded Labs discute a implementação de Turnstile Accounting
A Shielded Labs está a discutir a introdução de um novo pool de privacidade e a aplicação de Turnstile Accounting aos ativos existentes do Orchard Pool. A empresa afirmou que esta abordagem permitiria a qualquer pessoa verificar a integridade do fornecimento total da Zcash e confirmar se existem moedas contrafeitas dentro do Orchard Pool.
Preço do ZEC desce 17,04% para 447 $ após divulgação
A 5 de junho, o ZEC era negociado a 447 $ (aproximadamente 687.200 won sul-coreano), de acordo com dados da CoinGecko. Isto representou uma queda de 17,04% nas 24 horas seguintes à divulgação da vulnerabilidade.
FAQ
Como é que os investigadores descobriram a vulnerabilidade da Zcash?
Taylor Hornby descobriu a vulnerabilidade a 29 de maio usando o modelo de IA Opus 4.8 da Anthropic, durante uma auditoria ao código do Orchard Circuit. A análise assistida por IA identificou condições de restrição insuficientes no processo de verificação da operação sobre curvas elípticas, que escaparam à deteção por criptógrafos de topo durante quatro anos.
Alguém pode confirmar se a vulnerabilidade foi explorada antes da correção?
A Shielded Labs afirmou que provar criptograficamente se a vulnerabilidade foi efetivamente explorada durante o período de quatro anos de maio de 2022 a 29 de maio é impossível. O relatório referiu que, embora não exista um método de verificação, a probabilidade de exploração prévia é considerada baixa tendo em conta a complexidade da falha e as ferramentas avançadas de IA necessárias para a sua descoberta.
Que medidas a Zcash está a implementar para prevenir a contrafação no futuro?
A Shielded Labs está a discutir a introdução de um novo pool de privacidade e a aplicação de Turnstile Accounting aos ativos existentes do Orchard Pool. A empresa afirmou que esta abordagem permitiria a qualquer pessoa verificar a integridade do fornecimento total da Zcash e confirmar se existem moedas contrafeitas dentro do Orchard Pool.
