ZEC cai 30% após a Shielded Labs revelar detalhes sobre bug de falsificação infinita

O preço do ZEC caiu na quinta-feira após a divulgação de mais detalhes sobre uma vulnerabilidade crítica de falsificação no pool Orchard do Zcash, que teoricamente poderia permitir que um agente malicioso criasse uma quantidade ilimitada de ZEC.

De acordo com uma publicação no X, o engenheiro de segurança Taylor Hornby, contratado pela Shielded Labs, descobriu a falha em 29 de maio e a divulgou ao Zcash Open Development Lab (ZODL), que implementou uma resposta emergencial para corrigir a vulnerabilidade com um hard fork ativado em 3 de junho. 

No entanto, surgiram novas preocupações sobre a extensão em que a vulnerabilidade, existente desde maio de 2022, foi explorada, levando o Zcash a cair mais de 30% nas últimas 24 horas, para US$ 410 no momento da redação deste texto. Sua capitalização de mercado encolheu em mais de US$ 3 bilhões.

No entanto, o cofundador da BitMEX, Arthur Hayes, afirmou na sexta-feira que é improvável que o ZEC tenha sido cunhado ilegalmente dessa forma, embora tenha reconhecido que "não se pode provar formalmente, do ponto de vista criptográfico, que isso seja impossível".

“Infelizmente, devido à exploração da piscina Orchard, tive que descartar todo o nosso saco de ZEC”, disse ele.

“A Santíssima Trindade está morta”, acrescentou, referindo-se ao Zcash e aos outros dois tokens que vendeu esta semana, Hyperliquid (HYPE) e Near Protocol (NEAR).

ZEC despenca 30% em 24 horas após dois meses de ganhos sólidos. Fonte: TradingView

Claude auxilia na descoberta de bugs. 

Taylor utilizou o Claude Opus 4.8, lançado em 28 de maio, um dia antes da descoberta, para auxiliar em uma revisão altamente direcionada do circuito Orchard, o componente criptográfico subjacente ao pool protegido Orchard do Zcash.

A falha crítica permitia entradas falsas em uma verificação de multiplicação de curva elíptica, o que significa que o cálculo que deveria verificar criptograficamente as transações poderia ser enganado.

Taylor criou e testou um exploit funcional que gerou uma quantidade ilimitada de ZEC falsificados. 

"Se ele tivesse executado a mesma ferramenta na rede principal do Zcash, teria gerado ZEC falsificado ilimitado e indetectável em sua carteira Zcash na rede principal", disseram os pesquisadores de segurança na sexta-feira. 

A principal preocupação é que não existe uma maneira criptográfica de provar se alguém já havia explorado a vulnerabilidade antes da correção, devido às propriedades de privacidade do Orchard. 

No entanto, a Shielded Labs "não estava excessivamente preocupada", pois o bug era sutil o suficiente para escapar de anos de análise especializada, e a descoberta foi um esforço deliberado e altamente qualificado, utilizando ferramentas de ponta e inteligência artificial.

A empresa está trabalhando com os desenvolvedores do Zcash em uma proposta de atualização de rede para permitir que qualquer pessoa verifique a integridade do fornecimento de ZEC e comprove a inexistência de tokens falsificados no pool Orchard, afirmaram. 

Não é a primeira vez que o Zcash apresenta vulnerabilidade de falsificação.

Mert Mumtaz, cofundador e CEO da Helius, empresa de ferramentas Solana, afirmou que quase todos os protocolos de privacidade possuem uma variante dessa mesma vulnerabilidade. 

“Esse mesmo medo, incerteza e dúvida (FUD, na sigla em inglês) volta a cada cinco meses, à medida que novas pessoas aprendem como funcionam os pools de privacidade”, disse ele. 

Ele explicou que se trata de um risco teórico presente na maioria dos protocolos de privacidade de conhecimento zero, devido a falhas de circuito difíceis de explorar ou detectar.

Esta não é a primeira vez que uma vulnerabilidade semelhante no Zcash é descoberta. Em 2018, uma vulnerabilidade de falsificação na criptografia subjacente às zk-proofs foi descoberta pela Electric Coin Company, que a corrigiu sem perdas em 2019.