Un ricercatore di sicurezza ha scoperto un bug nel pool Orchard di Zcash che avrebbe consentito la creazione di quantità illimitate di token contraffatti.
Un ricercatore di sicurezza ha individuato una vulnerabilità critica nel protocollo Zcash che avrebbe potuto consentire a un attaccante di coniare quantità “illimitate” di ZEC contraffatti all’interno del pool Orchard. La notizia, resa pubblica giovedì da Shielded Labs – un’organizzazione indipendente di supporto a Zcash – ha innescato un crollo immediato del prezzo del token.
Il prezzo di ZEC è crollato del 31% nelle 24 ore successive alla pubblicazione del post, scendendo a 409,64 dollari alle 23:00 ET di giovedì. La maggior parte del ribasso si è concentrata nelle cinque ore immediatamente successive all’annuncio. Shielded Labs ha dichiarato di aver incaricato l’ingegnere di sicurezza Taylor Hornby di condurre una revisione del protocollo ad aprile.
Hornby ha scoperto la vulnerabilità il 29 maggio utilizzando il modello Opus 4.8 di Anthropic, appena rilasciato, combinando tecniche di ricerca di sicurezza tradizionali con strumenti assistiti dall’intelligenza artificiale. I risultati sono stati immediatamente condivisi con gli ingegneri dello Zcash Open Development Lab (ZODL). Il bug riguardava il circuito Orchard, il sistema di prove a conoscenza zero che garantisce la validità delle transazioni nel pool shielded di Zcash, quello che permette agli utenti di inviare e ricevere ZEC con piena privacy.
Secondo il post di Shielded Labs, la vulnerabilità derivava da un elemento “under-constrained” del circuito Orchard, che rendeva possibile inserire input falsi arbitrari in una moltiplicazione su curva ellittica ottenendo comunque l’approvazione della transazione. “La vulnerabilità era reale e sfruttabile”, ha scritto Shielded Labs. “Taylor, con l’aiuto di Opus 4.8, ha scritto un exploit completo che, testato in un ambiente regtest locale, ha generato ZEC contraffatti illimitati e non rilevabili.” Il bug era presente sin dall’attivazione di Orchard nel maggio 2022 ed è stato corretto il 1° giugno.
Nonostante la gravità della scoperta, Shielded Labs ha dichiarato di non essere “eccessivamente preoccupata” che lo sfruttamento effettivo abbia avuto luogo prima della correzione. Il team ha sottolineato che la vulnerabilità è rimasta inosservata per anni, anche sotto il controllo dei migliori crittografi al mondo. Le proprietà di privacy del pool Orchard rendono tuttavia impossibile escludere con certezza un’eventuale exploit precedente. “La scoperta non è stata accidentale – è stata il risultato di uno sforzo deliberato per identificare vulnerabilità di questo tipo prima che potessero farlo gli attori malevoli”, si legge nel post.
Shielded Labs sta attualmente esplorando un aggiornamento di rete che consentirebbe a chiunque di verificare l’integrità della supply di Zcash e dimostrare l’assenza di token contraffatti nel pool Orchard. La proposta includerebbe anche il deployment di un nuovo pool shielded e l’applicazione di una contabilità a tornello su tutte le monete presenti nel pool Orchard. “Questo era un bug serio, e riteniamo importante essere trasparenti su cosa significa per gli utenti di Zcash”, ha concluso il team. “
