Засновник Zcash Зуко Вілкокс (Zooko Wilcox) повідомив, що аудит безпеки, проведений за допомогою ІІ-моделі Anthropic Mythos, не виявив серйозних уразливостей у протоколі орієнтованої на приватність криптовалюти – і це за підсумками усунення виявленого раніше бага підробки транзакцій.
Аудит на замовлення Shielded Labs
Перевірку ініціювала Shielded Labs – швейцарський некомерційний фонд підтримки розробки Zcash. За словами Вілкокса, ІІ-аудит не виявив «жодних нових серйозних багів» у протоколі Zcash.
3 червня розробники Zcash тимчасово призупинили транзакції у пулі Orchard після виявлення вразливості у захищеному пулі. Того ж дня через екстрене оновлення функціональність було відновлено. Причиною став баг підробки чотирьохрічної давності в захищеному пулі Orchard – його знайшов дослідник безпеки Тейлор Хорнбі (Taylor Hornby) за сприяння моделі Claude Opus 4.8. Фонд Zcash підтвердив, що ознак експлуатації вразливості не виявлено, несанкціонованого створення монет не зафіксовано, а конфіденційним даним користувачів ніщо не загрожує.
ІІ-моделі: інструмент захисту та загроза одночасно
Поки розробники використовують нові ІІ-моделі для пошуку вразливостей, та сама технологія породжує нові ризики для індустрії.
Днями Anthropic випустила першу публічну версію моделі Claude Mythos – Fable 5. Ще місяцем раніше компанія повідомляла, що Mythos виявила більше 10 000 вразливостей високого та критичного ступеня серйозності в “системно значущому програмному забезпеченні”. Це викликало гострі дискусії про те, чи варто робити таку модель загальнодоступною.
Anthropic запевнила користувачів, що Fable 5 «адаптована для широкого застосування» та оснащена захисними механізмами: запити щодо ряду тематик, у тому числі щодо кібербезпеки, автоматично перенаправляються до моделі Claude Opus 4.8. Проте вже за кілька днів компанія призупинила доступ до моделей Fable 5 та Mythos 5 — на вимогу американських регуляторів у рамках експортного контролю з посиланням на міркування національної безпеки.
«Апокаліпсис уразливостей» у DeFi
Поширення потужних ІІ-моделей змінює розміщення сил у кібербезпеці — і не на користь захисників. Глава платформи з пошуку багів Immunefi Мітчелл Амадор (Mitchell Amador) описав те, що відбувається, як «апокаліпсис вразливостей»: зловмисники отримують інструменти, які раніше були доступні лише досвідченим дослідникам безпеки, що підганяє хвилю зламів у сфері децентралізованих фінансів (DeFi).
Статистика підтверджує тривогу: за даними DefiLlama, у квітні втрати від зломів у криптоіндустрії досягли $634 млн — найбільший місячний показник з часів злому Bybit, коли у лютому 2025 року було викрадено близько $1,4 млрд.
Підсумки аудиту Zcash демонструють, що ІІ здатний ефективно виявляти вразливості до того, як ними скористаються зловмисники. Водночас призупинення доступу до Fable 5 та Mythos 5 на вимогу влади США вказує на те, що регулятори дедалі уважніше стежать за поширенням найпотужніших ІІ-інструментів.
Думка ІІ
З точки зору архітектури протоколів з нульовим розголошенням (zero-knowledge proof) ситуація з Zcash порушує питання, що виходить за межі конкретного інциденту. Баг просидів у схемі Halo2 чотири роки – і це не виняток, а скоріше правило: фахівці Veridise фіксують критичні вразливості у кожному ZK-аудиті, який проводять. Проблема системна — математично складні схеми обмежень погано піддаються реву людським оком, і саме тут ІІ-моделі набувають структурної переваги над традиційними аудиторами.
Ключове питання, яке історія з Zcash залишає відкритим, стосується скоріше невіднайдених уразливостей. Приватність пулу Orchard за своєю природою унеможливлює ретроспективну перевірку емісії ZEC за чотирирічний період — саме тому Shielded Labs готує пропозицію щодо механізму «турнікета» для верифікації цілісності пропозиції монет. Наскільки ІІ-аудит здатний закрити цю структурну прогалину — поки що залишається відкритим питанням.