モーニングミニットの概要
モーニングミニットは、Tyler Warnerによって執筆された日刊ニュースレターです。ここで表現される分析や意見は彼自身のものであり、Decryptの意見を必ずしも反映するものではありません。また、Apple PodcastやSpotifyでダウンロード可能な新しい日刊ニュースショーもぜひご覧ください。
今日のトップニュース
おはようございます!今日のトップニュースです:5月29日、セキュリティ研究者のTaylor Hornbyが、攻撃者が無限の偽造ZECを鋳造できる重大な脆弱性をZcashのOrchardプライバシープールで発見しました。Hornbyはこの発見のためにZCashチームに雇われ、AnthropicのClaude Opus 4.8を使用しました。
6月1日までに、Zcashエコシステムは緊急修正を展開し、問題を解決しましたが、過去4年間は悪用される可能性がありました。脆弱性の内容について説明します。
脆弱性の詳細
Orchardプールは、2022年5月から稼働しているZcashの最も高度なシールドトランザクションレイヤーで、ゼロ知識証明を使用して、金額や参加者を明らかにすることなくトランザクションを検証します。このバグを簡単に説明すると、トランザクション入力を検証するために必要な特定のチェックが、実際にはそのルールを強制していなかったということです。
この脆弱性を発見した攻撃者は、そのチェックに偽の入力を与え、通過させることができました。つまり、何もないところからZECを生成し、ZK証明システムがその不正なトランザクションを有効と認めてしまったのです。
Hornbyは、Opus 4.8の助けを借りて完全に動作するエクスプロイトを作成し、ローカル環境でテストしました。その結果、無限の、検出不可能な偽造ZECが合法的なコインと区別できないことを確認しました。彼はすぐにそれをZODL、Zcashの調整開発機関に開示し、メインネットで実行することはありませんでした。
今後の展望
脆弱性の影響が不明な理由は、Orchardがプライバシープールであるため、2022年5月から2026年6月の間にこの脆弱性が悪用されたかどうかを暗号的に判断する方法がないからです。Orchardの価値を生むプライバシー特性は、悪用を検出不可能にする特性でもあります。
Hornbyを雇ったチームは、以前の悪用は可能性が低いと述べています。このバグは、世界クラスの暗号学者による数年にわたる精査を回避し、発見にはホワイトハット研究者のみが利用できる最先端のAIツールが必要であり、修正のウィンドウは狭かったのです。しかし、彼らは明確にしました:ユーザーは彼らの評価だけに依存すべきではありません。
次に何が起こるかについてですが、Shielded Labsはネットワークアップグレードを提案しており、新しいシールドプールを展開し、Orchardプールからのすべてのコインに「ターンスタイル会計」を強制します。これにより、既存のすべてのOrchardコインが検証可能なチェックポイントを通過し、偽造された供給が明らかになります。これには広範なコミュニティのガバナンスサポートと標準的なZcashネットワークアップグレードプロセスが必要です。詳細な提案は来週発表される予定です。
Shielded Labsはまた、Orchard回路全体をゼロから数学的に検証するプロジェクトを正式に開始し、セキュリティ責任者と暗号学者を雇用しています。
結論
Zcashを超えて重要な理由は、これはAnthropicの最も能力の高いAIモデルが専門のセキュリティ研究者の手に渡ったときに何ができるかを示す、最も明確な実世界のデモンストレーションだからです。Hornbyは5月28日に公開されたOpus 4.8を使用し、そのリリースから24時間以内に、複数回の専門家によるレビューを生き延びた4年前の重大なバグを発見しました。
そして、これはただのOpus 4.8です。Mythosが近日中に登場します。その後、さらに優れたモデルが登場するでしょう。すべての暗号プロトコルは警戒を怠るべきではありません。雇ったホワイトハットハッカーに自分のプロトコルをハッキング/悪用してみてもらうべきです。さもなければ、サイコロを振ってブラックハットがあなたのためにそれを行うのを待つことになります。時間が迫っており、広範な暗号空間の短期的な運命はおそらく危機に瀕しています。
