ข่าวเช้า
ข่าวเช้าเป็นจดหมายข่าวประจำวันที่เขียนโดย Taylor Warner การวิเคราะห์และความคิดเห็นที่แสดงออกเป็นของเขาเองและไม่ได้สะท้อนถึงความคิดเห็นของ Decrypt เสมอไป และตรวจสอบรายการข่าวประจำวันใหม่ของเราที่ครอบคลุมทุกเรื่องราวที่สำคัญใน 5 นาที สามารถดาวน์โหลดได้ที่ Apple Pod หรือ Spotify
สวัสดีตอนเช้า!
ข่าวเด่นวันนี้: เมื่อวันที่ 29 พฤษภาคม นักวิจัยด้านความปลอดภัยชื่อ Taylor Hornby พบช่องโหว่ที่สำคัญใน Orchard privacy pool ของ Zcash ซึ่งอนุญาตให้ผู้โจมตีสามารถสร้าง ZEC ปลอมได้ไม่จำกัดจำนวน Hornby ซึ่งถูกจ้างโดยทีม Zcash เพื่อเหตุผลนี้โดยเฉพาะ พบช่องโหว่นี้โดยใช้ Claude Opus 4.8 ของ Anthropic ภายในวันที่ 1 มิถุนายน ระบบนิเวศของ Zcash ได้ดำเนินการแก้ไขฉุกเฉินเพื่อแก้ไขปัญหานี้—แม้ว่าจะสามารถถูกโจมตีได้ในช่วง 4 ปีที่ผ่านมา
ช่องโหว่นี้คืออะไร
Orchard pool ซึ่งเป็นเลเยอร์การทำธุรกรรมที่มีการป้องกันที่ทันสมัยที่สุดของ Zcash ซึ่งเปิดใช้งานตั้งแต่เดือนพฤษภาคม 2022 ใช้การพิสูจน์แบบไม่มีความรู้ (zero-knowledge proofs) เพื่อยืนยันธุรกรรมโดยไม่เปิดเผยจำนวนเงินหรือผู้เข้าร่วม ข้อบกพร่องในคำพูดง่ายๆ: การตรวจสอบเฉพาะที่ควรจะยืนยันข้อมูลนำเข้าของธุรกรรมไม่ได้บังคับใช้กฎที่ดูเหมือนว่าจะบังคับใช้ ผู้โจมตีที่ค้นพบมันสามารถป้อนข้อมูลปลอมเข้าไปในการตรวจสอบนั้นและให้มันผ่านไปได้—สร้าง ZEC จากความว่างเปล่า โดยที่ระบบการพิสูจน์ ZK ยืนยันธุรกรรมที่หลอกลวงว่าเป็นของจริง
Hornby โดยได้รับความช่วยเหลือจาก Opus 4.8 ได้เขียนการโจมตีที่ทำงานได้อย่างสมบูรณ์ เขาทดสอบในสภาพแวดล้อมท้องถิ่นและมันทำงานได้: ZEC ปลอมที่ไม่จำกัดและไม่สามารถตรวจจับได้ ซึ่งไม่สามารถแยกแยะได้จากเหรียญที่ถูกต้อง เขาได้เปิดเผยมันให้กับ ZODL ซึ่งเป็นหน่วยงานพัฒนาที่ประสานงานของ Zcash แทนที่จะนำไปใช้ใน mainnet
สิ่งที่ทำให้ผลกระทบของการโจมตีไม่ชัดเจน
เนื่องจาก Orchard เป็น privacy pool จึงไม่มีวิธีการทางคณิตศาสตร์ที่จะกำหนดได้ว่าช่องโหว่นี้ถูกใช้ประโยชน์ระหว่างเดือนพฤษภาคม 2022 ถึงมิถุนายน 2026 หรือไม่ คุณสมบัติด้านความเป็นส่วนตัวที่ทำให้ Orchard มีค่าเป็นคุณสมบัติเดียวกันที่ทำให้การใช้ประโยชน์ไม่สามารถตรวจจับได้ ตอนนี้ทีมที่จ้าง Hornby กล่าวว่าไม่น่าจะมีการใช้ประโยชน์ก่อนหน้านี้ ข้อบกพร่องนี้หลบเลี่ยงการตรวจสอบจากนักเข้ารหัสระดับโลกมาหลายปี การค้นพบนี้ต้องการเครื่องมือ AI ที่ทันสมัยซึ่งมีให้เฉพาะนักวิจัย White-hat เท่านั้น และหน้าต่างการแก้ไขมีขนาดเล็ก แต่พวกเขาได้ชี้แจงอย่างชัดเจน: ผู้ใช้ไม่ควรพึ่งพาการประเมินของพวกเขาเพียงอย่างเดียว
สิ่งที่จะเกิดขึ้นต่อไป
Shielded Labs กำลังเสนอการอัปเกรดเครือข่ายที่จะติดตั้งพูลที่มีการป้องกันใหม่และบังคับใช้ “การบัญชีแบบประตูหมุน” กับเหรียญทั้งหมดจาก Orchard pool ซึ่งจะบังคับให้เหรียญ Orchard ที่มีอยู่ทั้งหมดต้องผ่านจุดตรวจสอบที่สามารถตรวจสอบได้ซึ่งจะเปิดเผยซัพพลายที่ถูกปลอมแปลง สิ่งนี้ต้องการการสนับสนุนจากการบริหารชุมชนอย่างกว้างขวางและกระบวนการอัปเกรดเครือข่าย Zcash มาตรฐาน ข้อเสนอรายละเอียดคาดว่าจะมีในสัปดาห์หน้า Shielded Labs ยังเริ่มโครงการอย่างเป็นทางการเพื่อยืนยันทางคณิตศาสตร์วงจร Orchard ทั้งหมดจากศูนย์ และกำลังจ้างหัวหน้าฝ่ายความปลอดภัยและนักเข้ารหัส
ทำไมเรื่องนี้ถึงสำคัญกว่าที่ Zcash
นี่คือการสาธิตในโลกแห่งความเป็นจริงที่ชัดเจนที่สุดเกี่ยวกับสิ่งที่โมเดล AI ที่มีความสามารถสูงสุดของ Anthropic สามารถทำได้ในมือของนักวิจัยด้านความปลอดภัยที่เชี่ยวชาญ Hornby ใช้ Opus 4.8 ที่เปิดตัวสาธารณะเมื่อวันที่ 28 พฤษภาคม และภายใน 24 ชั่วโมงหลังจากการเปิดตัว เขาพบข้อบกพร่องที่สำคัญซึ่งมีอายุ 4 ปีที่รอดพ้นจากการตรวจสอบของผู้เชี่ยวชาญหลายรอบ และนี่เป็นเพียง Opus 4.8 เท่านั้น Mythos กำลังจะมาในเร็วๆ นี้ และจะมีโมเดลที่ดีกว่าหลังจากนั้น ทุกโปรโตคอลคริปโตต้องอยู่ในสถานะเตือน—พยายามแฮ็ก/ใช้ประโยชน์จากโปรโตคอลของคุณเองด้วยนักแฮ็กเกอร์ White-hat ที่จ้าง หรือเสี่ยงและรอให้ Blackhats ทำให้คุณ สิ้นสุดเวลาแล้ว และชะตากรรมระยะสั้นของพื้นที่คริปโตโดยรวมอาจอยู่ในความสมดุล
