Un cercetător în securitate a utilizat auditarea asistată de inteligența artificială pentru a descoperi o eroare majoră în protocolul Zcash, care ar fi putut permite crearea de ZEC contrafăcute nedetectabile în cadrul zonei securizate (shielded pool) a rețelei.
Taylor Hornby, un cercetător în securitate care colaborează cu Shielded Labs, a descoperit o eroare pe 29 mai 2026 – la doar o zi după ce Anthropic a lansat Opus 4.8 – care a dus la eliminarea a miliarde de dolari din capitalizarea de piață a proiectului. Vulnerabilitatea a afectat o zonă securizată din cadrul designului protocolului, care susținea tranzacțiile private Zcash, și a fost suficient de gravă încât să declanșeze un răspuns de urgență în întregul ecosistem. Aceasta a condus la o vânzare bruscă (sell-off) care a făcut ca prețul ZEC să scadă cu aproximativ 60%, ștergând astfel peste 4 miliarde de dolari din capitalizarea de piață.
Pe scurt, povestea este relativ simplă: o constrângere lipsă în circuitul Orchard al Zcash ar fi putut permite unui "prover" malițios să cheltuiască aceeași notă securizată de mai multe ori, producând în același timp "nullifieri" diferiți. În practică, acest lucru înseamnă că un atacator ar fi putut infla ZEC în zona Orchard fără a lăsa o amprentă "on-chain". Partea înfricoșătoare este că această eroare a existat încă de când Orchard a fost lansat, iar incidentul a avut loc în mai 2022. Prin urmare, fereastra totală de expunere a durat aproximativ patru ani, înainte de a fi în cele din urmă remediată la scurt timp după descoperirea sa de către Hornby.
**AI a ajutat la găsirea vulnerabilității critice**
Această poveste nu se referă doar la eroare, ci și la modul în care a fost găsită. Hornby a declarat că a folosit un cadru personalizat "zcash-full-stack-auditor" cu Claude Opus 4.8. Acesta a fost conceput să funcționeze la efort maxim și a fost direcționat către implementarea "halo2", inclusiv circuitul Orchard. AI-ul căuta probleme legate de "soundness" (corectitudinea logică) și securitatea "zero-knowledge" (cunoaștere zero).
Cercetătorul a raportat că în jurul orei 18:00 pe 29 mai, unul dintre agenții de audit a semnalat o vulnerabilitate pe care credea că o poate folosi pentru a cheltui de două ori notele Orchard. Hornby a folosit apoi Claude pentru a ajuta la scrierea codului "proof-of-concept" împotriva unui circuit similar, înainte de a testa problema pe circuitul Orchard real.
**Testarea exploitului cu Claude**
Ulterior, Hornby a construit un test complet în modul "regtest" local al Zcash, unde exploitul a dublat valoarea unei note Orchard până când soldul portofelului de test a depășit 10 milioane ZEC. Aceste tranzacții nu au fost niciodată transmise pe "mainnet" sau "testnet", desigur, dar testul în sine a fost semnificativ, deoarece "regtest" aplică exact aceleași reguli de validare, ceea ce înseamnă că ar fi putut fi realizat pe "mainnet" cu același grad de succes.
Conform dezvăluirii oficiale, "proof-of-concept"-ul complet a necesitat aproximativ șase ore pentru a fi dezvoltat cu ajutorul Claude Code. Hornby a afirmat că modelul a avut nevoie de relativ puțină ghidare, dincolo de câteva sugestii.
Desigur, este important de înțeles că acest lucru nu înseamnă că AI-ul a "spart" independent Zcash. Taylor Hornby este un cercetător de securitate specializat și renumit. Auditul a fost țintit, iar instrumentele au fost construite personalizat. Cu toate acestea, cazul arată cum unele modele AI de frontieră încep să reducă semnificativ timpul necesar pentru a investiga sisteme tehnice extrem de complexe.