Shielded Labs Propose une Mise à Niveau de Zcash pour Vérifier l'Approvisionnement Après un Bug

Shielded Labs a proposé une nouvelle mise à niveau du réseau Zcash qui permettrait à quiconque de vérifier que l'offre de la cryptomonnaie de confidentialité n'a pas été secrètement gonflée. Cette proposition fait suite à la divulgation d'un bug récemment corrigé dans le principal pool blindé du réseau, qui aurait pu permettre la contrefaçon indétectable de $ZEC.

Shielded Labs, une organisation à but non lucratif qui finance le développement de Zcash, a indiqué dans un article de blog que la vulnérabilité était restée non découverte dans le pool Orchard depuis son lancement en mai 2022 jusqu'à ce que les ingénieurs la corrigent cette semaine. Zcash est approximativement la 11e plus grande cryptomonnaie par capitalisation boursière. Selon les données de CoinGecko, $ZEC a effacé ses gains de la semaine, en baisse de 16 % au cours des sept derniers jours et plongeant de 25 % au cours des dernières 24 heures à mesure que la nouvelle du bug se répandait.

Orchard, le pool blindé le plus récent et le plus important de Zcash, détient plus de 4 millions de $ZEC. C'est la majeure partie des environ 30 % de l'offre qui se trouve dans des pools privés, selon les trackers d'offre blindée. Cet épisode met en évidence un compromis au cœur des cryptomonnaies de confidentialité : la même cryptographie qui masque les soldes rend également impossible de prouver, à partir de la chaîne seule, si un bug a été exploité. Shielded Labs a déclaré qu'il n'existe aucun moyen de déterminer cryptographiquement si quelqu'un a exploité la faille avant la correction, bien qu'il ait jugé une exploitation antérieure peu probable.

Comment le bug a été découvert

Le chercheur indépendant en sécurité Taylor Hornby a découvert la faille le 29 mai lors d'un audit commandé par Shielded Labs. Il l'a divulguée ce soir-là aux ingénieurs du Zcash Open Development Lab (ZODL), le groupe qui maintient le protocole. Shielded Labs a indiqué que Hornby a utilisé le modèle Opus 4.8 d'Anthropic, publié le 28 mai, ainsi qu'un outil d'IA personnalisé. Il a écrit un exploit fonctionnel qui générait des $ZEC contrefaits illimités dans un environnement de test local. Exécuté sur le mainnet, a déclaré Shielded Labs, le même outil aurait produit des $ZEC contrefaits illimités et indétectables.

Le problème était un bug de cohérence, ce qui signifie que le réseau pouvait être amené à accepter une transaction qu'il aurait dû rejeter. Il provenait d'une partie sous-contrainte du circuit Orchard qui permettait à un attaquant de faire passer de fausses entrées à travers une vérification de courbe elliptique et de la faire quand même réussir. Shielded Labs a décrit l'impact comme la capacité à créer des $ZEC contrefaits illimités et indétectables au sein d'Orchard.

L'approvisionnement total reste intact

La Zcash Foundation, qui développe le logiciel Zebra utilisé pour faire fonctionner le réseau, a décrit le risque dans un article publié mercredi. Elle a indiqué que l'exploitation aurait pu permettre une double dépense au sein d'Orchard, mais n'aurait pas pu gonfler l'approvisionnement total en $ZEC, qui est plafonné par la comptabilité « tourniquet » du réseau. Le tourniquet limite la valeur pouvant quitter chaque pool au montant qui y est entré. La Fondation a déclaré que le tourniquet a confirmé que l'approvisionnement total est resté intact et qu'il n'y avait aucune preuve de création de valeur non autorisée. Les deux groupes s'accordent à dire que le bug a été détecté avant toute exploitation connue et que la confidentialité des utilisateurs n'a pas été affectée.

Comment la correction a été déployée

Après une coordination privée avec les mineurs et les exchanges qui a débuté le 31 mai, les ingénieurs ont livré un soft fork d'urgence qui a désactivé les transactions Orchard. Il a été activé le 2 juin au bloc 3 363 426. Un hard fork appelé NU6.2 a ensuite réactivé Orchard avec un circuit corrigé le 3 juin au bloc 3 364 600, a déclaré la Fondation. Elle a qualifié cette réponse de deuxième mise à niveau axée sur la sécurité dans l'histoire de Zcash depuis le lancement du réseau en 2016. La correction est suivie dans un avis de sécurité Zebra. Les transferts Orchard ont été gelés pendant cette période tandis que les transactions transparentes et Sapling continuaient de fonctionner. Certains explorateurs de blocs ont brièvement affiché aucun nouveau bloc par la suite, alimentant la confusion selon laquelle le réseau était tombé en panne.

La mise à niveau proposée

Shielded Labs a déclaré que NU6.2 corrige le bug mais ne prouve pas que l'offre d'Orchard n'a jamais été falsifiée. Sa proposition déploierait un nouveau pool blindé et ferait passer toutes les pièces quittant Orchard par la comptabilité tourniquet, permettant à quiconque de vérifier qu'aucun $ZEC contrefait n'existe. Comme toute mise à niveau majeure, elle nécessiterait le soutien de la communauté et devrait passer par le processus de gouvernance de Zcash avant son activation. Shielded Labs a déclaré qu'il prévoit de publier les détails la semaine prochaine. La réponse coordonnée a suscité des critiques. Certains développeurs et commentateurs ont fait valoir que la correction confidentielle, qui s'appuyait sur un petit groupe d'ingénieurs, de mineurs et d'exchanges, montrait à quel point la réponse d'urgence du réseau peut être centralisée. Ils ont également remis en question la possibilité d'auditer entièrement les pools blindés.

L'article Shielded Labs Proposes Zcash Upgrade to Verify Supply After Bug est apparu en premier sur TheCryptoUpdates.