Zcash runął o 54 procent. AI znalazło dziurę, której ludzie nie widzieli cztery lata

Kluczowe wnioski:

Zcash, czyli ZEC, jedna z najważniejszych kryptowalut skupiających się na prywatności, runął dziś po tym, jak deweloperzy ujawnili krytyczną lukę w swojej puli Orchard. Pozwalała ona wytworzyć nieograniczoną liczbę fałszywych ZEC, których sieć nie odróżniłaby od prawdziwych. Najbardziej zdumiewające jest jednak to, kto ją znalazł. Nie zespół kryptografów, którzy przez cztery lata audytowali ten kod, lecz badacz bezpieczeństwa wsparty modelem sztucznej inteligencji.

Kryptowaluta spadła w dobę z okolic 590 dolarów do około 256 USD, a następnie odbiła w okolice 300 dolarów. Kapitalizacja Zcash skurczyła się o ponad 4 miliardy dolarów. Boli to tym bardziej, że jeszcze przed wpadką ZEC był na plus około 600% rok do roku i jako jeden z nielicznych opierał się trwającemu krachowi na całym rynku. Pula Orchard to najnowocześniejsza część Zcash, w której transakcje są w pełni ukryte, czyli nie widać ani stron transakcji, ani jej kwoty. Ta prywatność jest produktem Zcash. I to właśnie ona zamieniła zwykły błąd w koszmar.

Lukę wykrył 29 maja Taylor Hornby, inżynier bezpieczeństwa wynajęty w kwietniu przez firmę Shielded Labs właśnie po to, żeby szukać dziur, zanim znajdą je przestępcy. Do audytu użył modelu Opus 4.8 od Anthropic, tego samego, który napędza Claude. Z jego pomocą napisał działający exploit w środowisku testowym i wygenerował nieograniczoną liczbę podrobionych ZEC. Błąd tkwił w obwodzie Orchard już od uruchomienia puli w maju 2022 roku. Od tego czasu, kolejne audyty doświadczonych kryptografów nie wychwyciły tego błędu. Mówiąc wprost, sztuczna inteligencja znalazła w ukierunkowanym audycie to, czego ludzie nie zauważyli przez cztery lata.

Uważam, że to jest najważniejszy wątek całej historii, ważniejszy niż sam kurs. Ta sama zdolność, która pozwoliła obrońcom domknąć lukę, jest dziś dostępna także po drugiej stronie barykady. AI staje się standardowym narzędziem na obu frontach bezpieczeństwa, a przewagę ma ten, kto pierwszy je wyceluje. Tym razem zdążyli ci dobrzy. Następnym razem... nie ma żadnej gwarancji.

Deweloperzy zareagowali awaryjnie. 2 czerwca wyłączyli Orchard, a dzień później wdrożyli poprawiony obwód przez aktualizację sieci. Dowodów na nadużycie nie znaleźli. Problem w tym, że Orchard jest w pełni zaszyfrowany, więc kryptograficznie nie da się udowodnić, że przez te cztery lata nikt nie wybił sobie fałszywych monet. To tak, jakby ktoś mógł dostać klucz do maszyny drukującej dolary, z tą różnicą, że nawet bank centralny nie umiałby później rozpoznać, które banknoty są lewe. Rynek nie wycenia więc samego błędu, bo ten jest już załatany. Wycenia trzydzieści sześć miesięcy niepewności i potencjalnych nadużyć, których z definicji nie da się rozwiać.

Reakcje były natychmiastowe. Arthur Hayes, były szef BitMEX i jeden z głośniejszych zwolenników ZEC, sprzedał całą swoją pozycję, choć sam przyznaje, że realne wykorzystanie luki jest mało prawdopodobne. Craig Salm z Grayscale zwraca uwagę, że niezauważony exploit oznaczałby przechytrzenie całego zespołu rdzennych deweloperów, a potem powstrzymanie się od sprzedaży fałszywek w trakcie ogromnej hossy, co jest mało realne. Firma Shielded Labs nie jest przesadnie zaniepokojona i pracuje nad ulepszeniem sieci, które pozwoli każdemu samodzielnie zweryfikować integralność podaży.

Najpierw uczciwie o ryzyku. To nie pierwsza taka luka w historii Zcash, podobny błąd inflacyjny wykryto w starszej puli w 2018 roku i również załatano go, zanim ktokolwiek zdążył go wykorzystać. Jeśli jednak trzymasz monety prywatności, musisz zrozumieć jeden fundamentalny kompromis. Prywatność, za którą płacisz, jest dokładnie tą samą cechą, która po wykryciu błędu uniemożliwia niezależne sprawdzenie, ile monet naprawdę istnieje. Przy Bitcoinie każdy może policzyć całą podaż samodzielnie. Przy zaszyfrowanej puli ZEC musisz zaufać matematyce i deweloperom.

Moim zdaniem znalezienie i załatanie błędu przed pojawieniem się dowodu nadużycia to sukces przejrzystego, wspartego przez AI bezpieczeństwa. Ale dla aktywa, którego całą wartością jest zaufanie do ukrytej podaży, komunikat w stylu "zaufajcie nam, prawdopodobnie wszystko gra" to bardzo trudna sprzedaż. Do wczoraj ZEC był wyspą zieleni na czerwonym rynku, a dziś jego posiadacze dostali twardą lekcję, że prywatność i możliwość weryfikacji ciągną w przeciwne strony. Decyzja należy do Ciebie, ale podejmij ją ze świadomością, czego dokładnie sprawdzić się nie da.