Zcash – Une IA déniche en 24h une faille vieille de 4 ans
Un chercheur en sécurité, Taylor Hornby, a lâché Claude Opus 4.8 sur le code de Zcash et 24 heures plus tard, le modèle lui a déniché une faille bien planquée là depuis 4 ans qui avait échappé aux auditeurs !
Et ce qu’elle permet de faire pique un peu (ouille ouille ^^) ! Car je vous rappelle que Zcash, c’est la cryptomonnaie taillée pour l’anonymat, où les transactions sont chiffrées et validées par des preuves mathématiques (le fameux “zero-knowledge” dont je vous ai déjà parlé). Sauf que dans son pool de confidentialité le plus récent, baptisé Orchard, une vérification censée s’assurer que les transactions étaient légitimes… ne vérifiait en fait rien du tout ! En clair, vous pouviez fabriquer du ZEC à partir de rien.
C’était une vraie planche à billets planquée dans le code, sauf que les faux billets étaient totalement impossibles à distinguer des vrais, et que le système les estampillait comme parfaitement authentiques.
Le plus dingue dans l’histoire, c’est que toute la faille tenait dans à peine deux lignes de code. Deux pauvres lignes, perdues quelque part dans le circuit cryptographique, qui laissaient passer de fausses valeurs sans broncher. Hornby a même écrit un exploit complet qui marchait pour de vrai, dans un environnement de test, histoire de prouver que ce n’était pas juste de la théorie sur un tableau blanc. Heureusement pour vous mes petits crypto-bro, l’équipe de Zcash a colmaté en urgence le 1er juin, et le cours du ZEC a dévissé de près de 40% dans la foulée.
Maintenant, le hic est ailleurs car Orchard est un pool privé, donc personne ne peut prouver mathématiquement si quelqu’un a exploité cette faille durant ces 4 dernières années. J’sais pas si vous saisissez le niveau d’ironie du truc mais LA confidentialité, c’est à dire l’argument de vente numéro un de Zcash, est exactement ce qui empêche aujourd’hui de savoir si les utilisateurs et investisseurs de cette crypto se sont fait pigeonner. L’équipe estime que c’est “peu probable“, mais elle
le dit elle-même
: “Ne vous fiez pas à notre évaluation”. Je vais traduire ça en français : On n’en sait rien, et on ne le saura jamais”. Oups !
Maintenant, ça ne veut pas dire que Zcash est mort ni que vos cryptos vont s’évaporer du jour au lendemain. Le trou est bouché, et l’équipe planche déjà sur un moyen de repérer une éventuelle fausse monnaie qui aurait été créée grâce à cette faille, mais faut savoir que ce genre de bugs planqués, il y en aura toujours.
Et ce qui est compliqué, c’est qu’on peut aujourd’hui les découvrir assez facilement et rapidement avec des modèles IA grand public. Et ce qui s’est passé avec Zcash n’est même pas un cas isolé puisque ces derniers mois, une IA a débusqué
huit des neuf failles trouvées dans le serveur X.Org
, et une autre a sorti du placard une
faille vieille de 18 ans dans nginx
.
Et bien sûr, Hornby ne compte pas s’arrêter à Zcash, puisqu’il a déjà annoncé qu’il menait le même genre d’analyse sur Monero, l’autre grosse crypto anonyme. Le XMR a perdu 10% rien qu’à l’annonce, par anticipation… lol.
Maintenant, si un modèle public déniche ça en 24h, je me demande vraiment ce que les modèles les plus costauds, ceux qui restent bien au chaud en privé, ont déjà trouvé sans que personne ne le sache ?
Bref, la faille sur Zcash est colmaté mais on a une fois de plus la preuve que “audité par des experts” ne pèse plus très lourd face à une IA un peu motivée.
Leave a Comment