Ang Morning Minute
Ang Morning Minute ay isang pang-araw-araw na newsletter na isinulat ni Tyler Warner. Ang mga pagsusuri at opinyon na ipinahayag ay kanya lamang at hindi kinakailangang sumasalamin sa mga pananaw ng Decrypt. Huwag kalimutang tingnan ang aming bagong pang-araw-araw na news show na sumasaklaw sa lahat ng mga pangunahing balita sa loob ng 5 minuto, na maaaring i-download sa Apple Podcast o Spotify.
Mga Pangunahing Balita
Magandang umaga! Narito ang mga pangunahing balita ngayon:
Noong Mayo 29, isang security researcher na nagngangalang Taylor Hornby ang nakatuklas ng isang kritikal na kahinaan sa Orchard privacy pool ng Zcash na magbibigay-daan sa isang umaatake na makagawa ng walang limitasyong pekeng ZEC.
Si Hornby, na hinire ng Zcash team para sa eksaktong dahilan na ito, ay natuklasan ang isyu gamit ang Claude Opus 4.8 ng Anthropic. Pagsapit ng Hunyo 1, ang ekosistema ng Zcash ay nag-deploy ng isang emergency fix na nalutas ang isyu—bagamat ito ay na-exploit sa nakaraang 4 na taon.
Kahinaan ng Orchard Pool
Ano ang kahinaan? Ang Orchard pool, ang pinaka-advanced na shielded transaction layer ng Zcash, na aktibo mula Mayo 2022, ay gumagamit ng zero-knowledge proofs upang i-validate ang mga transaksyon nang hindi ibinubunyag ang mga halaga o kalahok.
Ang bug, sa simpleng salita, ay isang tiyak na tseke na dapat na nag-validate ng mga input ng transaksyon ngunit hindi talagang nagpapatupad ng mga patakarang tila ipinapatupad nito. Ang isang umaatake na nakatuklas nito ay maaaring magpasok ng maling inputs sa tseking iyon at makuha itong pumasa—nag-generate ng ZEC mula sa wala, na ang ZK proof system ay nagbigay ng pahintulot sa mapanlinlang na transaksyon bilang wasto.
Pagbubunyag at Epekto
Si Hornby, sa tulong ng Opus 4.8, ay sumulat ng isang kumpletong gumaganang exploit. Sinubukan niya ito sa isang lokal na kapaligiran at ito ay gumana: walang limitasyong, hindi matutukoy na pekeng ZEC, na hindi maihihiwalay mula sa mga lehitimong barya. Agad niyang ibinulgar ito sa ZODL, ang coordinating development body ng Zcash, sa halip na patakbuhin ito sa mainnet.
Hindi Matukoy na Epekto
Ano ang nagiging dahilan kung bakit hindi alam ang epekto ng exploit? Dahil ang Orchard ay isang privacy pool, walang paraan upang cryptographically matukoy kung ang kahinaang ito ay na-exploit sa pagitan ng Mayo 2022 at Hunyo 2026.
Ang mga katangian ng privacy na ginagawang mahalaga ang Orchard ay ang mga katangian ding nagiging dahilan upang ang exploitation ay hindi matukoy. Ngayon, ang team na humirang kay Hornby ay nagsasabi na ang naunang exploitation ay hindi malamang.
Susunod na Hakbang
Ang Shielded Labs ay nagmumungkahi ng isang Network Upgrade na mag-de-deploy ng isang bagong shielded pool at magpapatupad ng “turnstile accounting” sa lahat ng barya mula sa Orchard pool. Sa esensya, ito ay pipilitin ang bawat umiiral na Orchard coin na dumaan sa isang maaasahang checkpoint na magbubunyag ng anumang pekeng suplay.
Isang detalyadong mungkahi ang inaasahang darating sa susunod na linggo. Ang Shielded Labs ay pormal ding nagsisimula ng isang proyekto upang mathematically i-verify ang buong Orchard circuit mula sa simula, at nagha-hire ng isang Head of Security at isang Cryptographer.
Kahalagahan ng Pagtuklas
Bakit ito mahalaga lampas sa Zcash? Ito ang pinakamalinaw na demonstrasyon sa totoong mundo kung ano ang kayang gawin ng pinaka-kakayahang AI model ng Anthropic sa mga kamay ng isang expert security researcher.
Ginamit ni Hornby ang Opus 4.8 na inilabas sa publiko noong Mayo 28, at sa loob ng 24 na oras mula sa kanyang paglabas, natagpuan niya ang isang kritikal na bug na apat na taon nang nabubuhay na nakaligtas sa maraming round ng pagsusuri ng mga eksperto. At ito ay Opus 4.8 lamang. Ang Mythos ay darating na. At magkakaroon ng mas mahusay na mga modelo pagkatapos nito.
Pagsusuri at Pagsusuri
Ang bawat crypto protocol ay dapat na nasa alerto—subukang i-hack/exploit ang iyong sariling protocol gamit ang mga hired white-hat hackers. O mag-roll ng dice at maghintay para sa mga blackhats na gawin ito para sa iyo. Ang oras ay tumatakbo, at ang malapit na kapalaran ng mas malawak na crypto space ay malamang na nakabitin sa balanse.
