Zcash Orchard : Quatre questions sur la faille : A-t-elle été exploitée ? Les fonds sont-ils récupérables ? La masse monétaire est-elle vérifiable ? Y en a-t-il d'autres ?
L'article aborde la découverte récente d'une vulnérabilité critique dans le bassin de confidentialité Orchard de Zcash, et répond à quatre questions principales concernant ses implications.
**1. La vulnérabilité a-t-elle été exploitée ?**
La réponse est inconnue, mais les auteurs estiment que l'exploitation antérieure est peu probable. La vulnérabilité, découverte par des recherches proactives avancées utilisant l'IA, est restée cachée malgré des audits continus. Une réponse rapide a gelé le bassin Orchard, limitant la fenêtre d'opportunité pour une attaque. Aucune preuve d'exploitation ou de liquidation massive de ZEC forgés n'a émergé, ce qui est cohérent avec le fait que les attaquants agissent généralement rapidement.
**2. Les fonds légitimes dans Orchard peuvent-ils être récupérés ?**
Oui, si la vulnérabilité n'a pas été exploitée. Si elle l'a été, le mécanisme de "tourniquet" (turnstile) limite la migration totale hors d'Orchard au montant de ZEC légitimement entrés. Ainsi, si des fonds forgés migraient avant les fonds légitimes, une partie de ces derniers pourrait être perdue. Les auteurs jugent ce scénario improbable mais conseillent aux utilisateurs prudents de transférer leurs fonds, en tenant compte des risques associés (perte de confidentialité, dépendance à une configuration de confiance pour Sapling, risques logiciels ou de garde).
**3. Les utilisateurs peuvent-ils vérifier que l'offre de ZEC n'a pas été augmentée ?**
**Pas actuellement.** L'existence passée de la vulnérabilité empêche toute vérification indépendante. Cependant, la mise à niveau réseau **Ironwood** proposée rétablira cette capacité en **scellant le bassin Orchard** (aucune nouvelle entrée ni circulation interne). Seule la sortie via le tourniquet reste possible, garantissant qu'aucun ZEC excédentaire ne peut rester en circulation. Cela permettra à chacun de vérifier que la limite d'offre du protocole est respectée, restaurant ainsi un pilier essentiel de la crédibilité de Zcash.
**4. Existe-t-il d'autres vulnérabilités de falsification ?**
On ne peut en être totalement certain, mais des examens approfondis et continus par plusieurs équipes, incluant l'utilisation de modèles d'IA avancés, n'ont jusqu'à présent **détecté aucune autre vulnérabilité de ce type**. Des collaborations sont en cours pour apporter des garanties supplémentaires. Bien que des travaux restent nécessaires pour une certitude absolue, la confiance dans l'absence d'autres failles similaires est forte.
**Conclusion :** Les auteurs estiment que l'exploitation est improbable, que les fonds légitimes sont récupérables et que l'offre actuelle est sûre. Ils affirment également avoir une confiance croissante en l'absence d'autres vulnérabilités. Toutefois, ils soulignent que **la capacité des utilisateurs à vérifier par eux-mêmes l'intégrité de l'offre est cruciale**. La mise à niveau **Ironwood**, en scellant Orchard, est présentée comme la solution pour restaurer cette vérification indépendante, sans que les utilisateurs n'aient à se fier uniquement à des évaluations tierces.
marsbit06/15 07:54
