coin-img-ETHETH-9.93%coin-img-BTCBTC-3.91%coin-img-SOLSOL-6.03%coin-img-XRPXRP-5.59%coin-img-USDCUSDC-0.04%coin-img-ADAADA-14.43%coin-img-HYPEHYPE-14.69%coin-img-TONCOINTONCOIN-12.64%coin-img-ETHETH-9.93%coin-img-BTCBTC-3.91%coin-img-SOLSOL-6.03%coin-img-XRPXRP-5.59%coin-img-USDCUSDC-0.04%coin-img-ADAADA-14.43%coin-img-HYPEHYPE-14.69%coin-img-TONCOINTONCOIN-12.64%coin-img-ETHETH-9.93%coin-img-BTCBTC-3.91%coin-img-SOLSOL-6.03%coin-img-XRPXRP-5.59%coin-img-USDCUSDC-0.04%coin-img-ADAADA-14.43%coin-img-HYPEHYPE-14.69%coin-img-TONCOINTONCOIN-12.64%coin-img-ETHETH-9.93%coin-img-BTCBTC-3.91%coin-img-SOLSOL-6.03%coin-img-XRPXRP-5.59%coin-img-USDCUSDC-0.04%coin-img-ADAADA-14.43%coin-img-HYPEHYPE-14.69%coin-img-TONCOINTONCOIN-12.64%

Zcash bestätigt kritische Schwachstelle im Privacy-Pool Orchard – ZEC zeitweise 43% im Minus

Das Zcash-Ökosystem hat eine kritische Sicherheitslücke im Shielded-Transaktionspool Orchard bestätigt, die theoretisch das Fälschen einer unbegrenzten Menge an ZEC ermöglicht. Der dazugehörige Fix wurde am 1. Juni abgeschlossen. Da Orchard auf maximale Vertraulichkeit ausgelegt ist, lässt sich derzeit onchain nicht nachprüfen, ob die Schwachstelle zwischen Mai 2022 und Juni 2026 ausgenutzt wurde. Nach Bekanntwerden der Details fiel ZEC auf rund 250 US-Dollar. Im Tagesverlauf lag das Minus in der Spitze bei 43%. Schwachstelle in der Validierungslogik Entdeckt wurde das Problem am 29. Mai von dem Sicherheitsforscher Taylor Hornby, der im Auftrag des Zcash-Teams Untersuchungen durchführte. Hornby entwickelte nach eigenen Angaben funktionsfähigen Exploit-Code, unterstützt durch Anthropic's Claude Opus. Der Fehler sitzt in der Eingabe-Validierung von Orchard: Eine Prüfung, die Regelkonformität suggeriert, setzt die notwendigen Constraints nicht korrekt durch. So könnten Angreifer manipulierte Inputs konstruieren, die dennoch die Zeroknowledge-Proof-Verifikation bestehen. Auf diese Weise entstünden ZEC "aus dem Nichts" – Tokens, die von legitimen nicht zu unterscheiden wären. Notfall-Patch eingespielt, Rückblick bleibt im Dunkeln Hornby erklärte, er habe die Verifikation nur lokal durchgeführt und den Fund umgehend an ZODL gemeldet, die die Entwicklung von Zcash koordiniert. Ein Angriff auf das Mainnet sei nicht erfolgt. Am 1. Juni wurde ein Emergency-Patch ausgerollt, um weitere Ausnutzung zu verhindern. Gleichzeitig räumte das Team ein, dass die Lücke über einen Zeitraum von etwa vier Jahren ausnutzbar gewesen sein könnte. Der zentrale Stolperstein: Orchard ist ein Privacy-Pool, der Beträge und Beteiligte verschleiert. Genau diese Architektur macht es nach Angaben der Beteiligten kryptografisch unmöglich, im Nachhinein festzustellen, ob verdecktes Minting stattgefunden hat. Vorschlag für Netzwerk-Upgrade und "Turnstile Accounting" Zur Risikobegrenzung schlägt Shielded Labs ein Netzwerk-Upgrade vor. Kernpunkte sind ein neuer Privacy-Pool und ein "Turnstile Accounting"-Mechanismus für Tokens aus Orchard. Dabei müssten bestehende Orchard-Tokens eine verifizierbare Kontrollstation passieren, um potenziell gefälschte Bestände identifizieren zu können. Der Vorschlag steht unter dem Vorbehalt der Community-Governance und muss das reguläre Zcash-Upgrade-Verfahren durchlaufen. Ein detaillierterer Entwurf wird für die kommende Woche erwartet. AI-gestützte Security rückt in den Fokus Zusätzlich kündigte Shielded Labs an, den gesamten Orchard-Circuit mathematisch verifizieren zu lassen und eine Security-Leitung sowie Kryptografie-Forscher einzustellen. Der Vorfall lenkt auch Aufmerksamkeit auf die Rolle von KI in der Sicherheitsforschung: Claude Opus 4.8 wurde am 28. Mai öffentlich veröffentlicht; Forschende stießen nach dem Livegang innerhalb von rund 24 Stunden auf die seit Langem bestehende kritische Schwachstelle. Mit leistungsfähigeren Modellen könnte sich das Tempo von Angriffen und Abwehrmaßnahmen bei Krypto-Protokollen weiter erhöhen.
Ausgewählt
Haftungsausschluss: Die obigen Inhalte geben lediglich die Meinung des Autors wieder und spiegeln nicht die Haltung von BingX wider. Sie stellen keine Anlageberatung durch BingX dar. Details finden Sie in den Geschäftsbedingungen.