Monero następny na liście audytów badacza po znalezieniu błędu Zcash z pomocą AI

Inżynier bezpieczeństwa Taylor Hornby, który niedawno wykorzystał model AI Opus 4.8 firmy Anthropic do wykrycia krytycznej luki w Zcash, ogłosił, że kolejnym punktem na jego liście audytów będzie kryptowaluta prywatności Monero.

Hornby, zatrudniony przez Shielded Labs w kwietniu w celu identyfikacji błędów protokołu, zanim mogłyby zostać wykorzystane przez atakujących, poinformował, że odkrycie luki w Zcash nastąpiło 29 maja. Błąd, zlokalizowany w puli prywatności Orchard w Zcash, pozostawał niewykryty od maja 2022 roku i mógł pozwolić atakującemu na bicie nieograniczonej liczby niewykrywalnych fałszywych tokenów ZEC. Shielded Labs ujawniło lukę w czwartek i wdrożyło awaryjną poprawkę do 1 czerwca.

Zapytany na platformie X, czy planuje szukać luk w Monero i innych prywatnych kryptowalutach, Hornby odpowiedział: „Absolutnie! Dodam Monero do mojej kolejki rzeczy do audytu." Monero, notowane pod symbolem XMR, jest jednym z największych tokenów skupionych na prywatności, domyślnie ukrywającym szczegóły transakcji. Kontrastuje to z Zcash, gdzie użytkownicy mogą wybierać między przezroczystymi a chronionymi adresami.

Wpływ błędu w Zcash był natychmiastowy: cena ZEC spadła o 38% w ciągu 24 godzin w obliczu obaw, że haker mógł przez ostatnie dwa lata wykorzystywać chronioną pulę bez pozostawiania śladów. Hornby stwierdził jednak, że zgłosił lukę zamiast ją wykorzystać, ponieważ deweloperzy Zcash byli dla niego „jak rodzina" i nie mógłby żyć z „taką zdradą".

Co błąd oznaczał dla Zcash

Pula prywatności Orchard została zaprojektowana w celu ochrony anonimowości użytkowników, jednak błąd w zasadzie tę ochronę zniweczył. Gdyby pozostał niezauważony, atakujący mógłby generować fałszywe monety ZEC bez wiedzy kogokolwiek. Shielded Labs działało szybko, wdrażając poprawkę w ciągu trzech dni. Rolą Hornby'ego było znajdowanie takich problemów, zanim mogłyby zostać wykorzystane jako broń.

Nadchodzący audyt Monero

Hornby planuje teraz skupić swoją uwagę na Monero, monecie, którą wielu w społeczności prywatności uważa za trudniejszą do śledzenia niż Zcash. Wspomniał, że złoży wniosek o grant dla posiadaczy monet Zcash w celu sfinansowania dalszych prac audytorskich. Czy ten grant obejmuje audyty Monero, pozostaje niejasne, jednak Hornby wydaje się zdeterminowany, aby zbadać kod.

Szersze implikacje

Incydent z Zcash wywołał pytania o to, ile innych protokołów prywatności może mieć podobne ukryte błędy. Wykorzystanie AI do znajdowania luk jest wciąż stosunkowo nowe, jednak sukces Hornby'ego może zachęcić więcej badaczy bezpieczeństwa do wypróbowania podobnych metod. Dla Monero nadchodzący audyt może albo wzmocnić jego reputację, albo ujawnić słabości. Na razie społeczność czeka.

Wpis Monero next on researcher's audit list after AI-aided Zcash bug find pojawił się po raz pierwszy na TheCryptoUpdates.