Un vulnérabilité infiltrée depuis quatre ans, découverte grâce à l'IA — La confidentialité de ZEC, vous y croyez encore ?

Zcash va publier ce soir un rapport d'audit.

Ce n'est pas un audit ordinaire. C'est une vulnérabilité infiltrée pendant toute une période de quatre ans — un problème d'approvisionnement du Orchard Pool.

Ce qui est encore plus choquant : cette vulnérabilité n'a pas été trouvée par un humain en sécurité, mais par une IA assistée.

Quatre ans. IA. Découverte.

Vous mesurez la portée de ces mots.

Orchard est le protocole de confidentialité de la dernière version de Zcash, le cœur du cœur. S'il y a un problème, alors toute la promesse de confidentialité des « transactions masquées » est en papier mâché.

Maintenant que la vulnérabilité est corrigée, le rapport d'audit sera publié ce soir. L'équipe officielle de Zcash dit : « faire face de front ».

Mais le problème est —

En raison des caractéristiques de confidentialité de Zcash, il est techniquement impossible de prouver cryptographiquement si cette vulnérabilité a été exploitée ou non.

En langage simple : même si la vulnérabilité est corrigée, vous ne saurez pas si quelqu’un a volé de l’argent au cours des quatre dernières années.

Ce qui est vraiment effrayant dans cette affaire, ce n’est pas seulement le problème de Zcash. C’est toute la hypothèse de sécurité du secteur des monnaies privées, qui pourrait devoir être réévaluée.

Vous voyez, pour des projets comme Zcash, Monero, sur quoi repose l’audit de sécurité ? Sur l’humain, sur les white hats, sur quelques experts en cryptographie qui surveillent des dizaines de milliers de lignes de code.

Et les attaquants ? Ils ont déjà commencé à utiliser l’IA pour trouver des vulnérabilités.

Cette fois, c’est l’IA qui a aidé les white hats. Et la prochaine fois ? Si l’IA est mal utilisée, pour découvrir une vulnérabilité zero-day, puis l’exploiter en secret pendant quatre ans — vous ne pourrez même pas le détecter.

« Le plus grand paradoxe des monnaies privées : elles protègent les méchants que vous ne connaissez pas, mais aussi les vulnérabilités que vous ne voyez pas. »

« L’IA est en train de réécrire les règles de la course à la sécurité : la vitesse d’audit humaine ne peut plus suivre l’imagination des attaques de l’IA. »

Alors, qu’est-ce que l’audit de Zcash ce soir ?

A. Une gestion de crise — corriger une vulnérabilité, publier un rapport, rassurer la communauté, puis continuer.

B. Le point de départ d’une réévaluation systémique de la sécurité dans tout le secteur des monnaies privées — passer de « je crois à l’audit » à « j’ai besoin d’une sécurité vérifiable en temps réel ».

Mon avis est : si la communauté Zcash reste à l’option A, ce secteur sera tôt ou tard enterré par lui-même. Seule l’option B donne un avenir aux monnaies privées.

Et pour finir, à tous ceux qui détiennent du ZEC, du XMR, ou même tout autre actif privé :

« Vous n’achetez pas de la confidentialité, mais la confiance dans la capacité des développeurs et dans la fréquence des audits. Et la confiance, c’est la chose la plus fragile dans le monde cryptographique. »