29 मई को, इस फ्रेमवर्क ने एक तार्किक विसंगति (लॉजिकल इनकंसिस्टेंसी) सामने ला दी जिसे मानव ऑडिटरों ने—मई 2022 में ऑर्चर्ड के सक्रिय होने के बाद से हुई कई औपचारिक ऑडिट में भी—नहीं पकड़ा था । हॉर्नबी ने सिर्फ एक सैद्धांतिक कमजोरी का दस्तावेजीकरण नहीं किया; उन्होंने एआई-सहायता प्राप्त तरीके का उपयोग कर एक ऐसा वर्किंग एक्सप्लॉइट भी लिखा जिसने एक स्थानीय परीक्षण वातावरण में सफलतापूर्वक नकली ZEC टोकन बना दिए
। खोज की यह गति—मॉडल के सार्वजनिक रिलीज़ के एक दिन के भीतर—एआई-संवर्धित सुरक्षा अनुसंधान की क्षमता में एक बड़े बदलाव को रेखांकित करती है
।
इस बात पर ज़ोर देना अहम है कि यह सफलता एक कुशल मानव विशेषज्ञ और एक अत्याधुनिक मॉडल के बीच सहयोग से मिली। एआई ने एक विशाल कोडबेस में व्यवस्थित तर्क और पैटर्न पहचान प्रदान की; मानव शोधकर्ता ने समस्या की रूपरेखा तैयार की, ऑडिटिंग हार्नेस का निर्माण किया, और निष्कर्षों को मान्य किया ।
यह कमजोरी ऑर्चर्ड शील्डेड-पूल सर्किट में एक गंभीर 'साउंडनेस' बग थी, जो Zcash के प्राइवेट लेन-देन का मुख्य गोपनीयता तंत्र है । ज़ीरो-नॉलेज प्रूफ सिस्टम में, "साउंडनेस" का अर्थ है कि किसी झूठे बयान के लिए एक वैध प्रूफ तैयार करना कंप्यूटेशनल रूप से असंभव होना चाहिए। ऑर्चर्ड सर्किट में एक खामी थी जो इस गुण को तोड़ती थी।
विशेष रूप से, हेलो2 गैजेट्स क्रेट के भीतर गहराई में एक मान एक वास्तविक आधार बिंदु से अनैंकर्ड छोड़ दिया गया था, जिसने गणितीय रूप से अमान्य इनपुट को प्रभावी रूप से एक एलिप्टिक-कर्व जांच पास करने दिया । सरल शब्दों में कहें तो, एक जांच जो लेन-देन इनपुट को मान्य करने वाली थी, वह वास्तव में उन नियमों को लागू नहीं कर रही थी जिन्हें लागू करती प्रतीत होती थी
। परिणाम: एक हमलावर वैध ज़ीरो-नॉलेज प्रूफ बना सकता था जो शील्डेड पूल के भीतर असीमित नकली ZEC के सृजन को अधिकृत करते थे।
क्योंकि ऑर्चर्ड लेन-देन डिज़ाइन से ही निजी होते हैं, नकली सिक्के ब्लॉकचेन पर वास्तविक सिक्कों से अप्रभेद्य होंगे । ब्लॉकचेन का ऑडिट करके नकली आपूर्ति देखने का कोई तरीका नहीं होगा। यह बग मई 2022 में ऑर्चर्ड के आने के बाद से जीवित था, जिसका अर्थ है कि यह लगभग चार वर्षों तक बिना पकड़ में आए बना रहा
।
गंभीर बात यह है कि ऑर्चर्ड की गोपनीयता विशेषताओं और खामी की प्रकृति के कारण, शील्डेड लैब्स ने कहा कि यह जानने का कोई क्रिप्टोग्राफिक तरीका नहीं है कि क्या इस कमजोरी का वास्तविक दुनिया में कभी शोषण किया गया था । यह अनिश्चितता खुलासे के बाद की चिंता का एक केंद्रीय स्रोत बन गई।
विलकॉक्स ने पुष्टि की कि सार्वजनिक घोषणा से पहले पैच सफलतापूर्वक तैनात कर दिया गया था, जिसका अर्थ है कि खुलासे के बाद किसी शोषण के कारण कोई ज्ञात धनराशि नहीं खोई गई । समन्वित "पहले पैच, बाद में खुलासा" दृष्टिकोण ने मानक कमजोरी प्रबंधन अभ्यास का पालन किया, लेकिन आवश्यक गति—खोज से लेकर नेटवर्क-व्यापी हार्ड फोर्क तक तीन दिनों में—असाधारण थी।
इमरजेंसी फिक्स के बाद, शील्डेड लैब्स ने एंथ्रोपिक से अपने प्रतिबंधित अत्याधुनिक मॉडल, मिथोस का उपयोग करके एक अलग, पूर्ण-प्रोटोकॉल ऑडिट चलाने का अनुरोध किया। उस ऑडिट ने पुष्टि की कि 12 जून, 2026 तक प्रोटोकॉल में कोई अतिरिक्त गंभीर कमजोरियां मौजूद नहीं थीं । इस व्यापक समीक्षा ने विश्वास को आंशिक रूप से बहाल करने में मदद की, हालांकि पैच-पूर्व शोषण के बारे में मुख्य अनिश्चितता बनी रही।
4 जून को सार्वजनिक खुलासे पर बाजारों ने कठोर प्रतिक्रिया व्यक्त की। ZEC की कीमत अगले दिनों में लगभग 40-50% गिर गई, रिपोर्टों में वर्णित किया गया कि सिक्का "मात्र कुछ हफ्ते पहले के कहीं ऊंचे स्तरों" से गिरकर धड़ाम हो गया । कई स्रोत 31% और 50% के बीच गिरावट की सीमा का हवाला देते हैं, सबसे अधिक संदर्भित परिमाण लगभग 40-50% है
।
यह बिकवाली कई मोर्चों पर दहशत को दर्शाती है। पहला, बग की भयावह गंभीरता—एक प्रमुख प्राइवेसी कॉइन में अनंत, न पकड़ी जा सकने वाली नकली करेंसी—ने प्रोटोकॉल की सुरक्षा गारंटी में बुनियादी विश्वास को कमजोर कर दिया। दूसरा, इस तथ्य ने कि एक एआई मॉडल ने एक खामी ढूंढी जिसे वर्षों की मानव-नेतृत्व वाली औपचारिक ऑडिट में नहीं पकड़ा गया, ने एथेरियम (Ethereum) सहित अन्य क्रिप्टोकरेंसी की कमजोरी की सतह के बारे में असहज सवाल खड़े कर दिए । तीसरा, इस बात की स्थायी अनिश्चितता कि क्या पहले ही इस बग का शोषण किया जा चुका था, ने एक विश्वास की कमी छोड़ दी जिसे केवल एक तकनीकी फिक्स बंद नहीं कर सकता था
।
व्यापारियों ने क्रिप्टो के सबसे प्रमुख गोपनीयता नेटवर्कों में से एक की सुरक्षा का पुनर्मूल्यांकन किया, और पुनर्मूल्य निर्धारण तीव्र और गंभीर था ।
Zcash घटना को व्यापक रूप से महत्वपूर्ण सॉफ्टवेयर सुरक्षा में एआई की दोहरे उपयोग की क्षमता के लिए एक निर्णायक क्षण के रूप में देखा जाता है ।
रक्षात्मक मूल्य स्पष्ट है। एक एआई मॉडल ने, विशेषज्ञ मानव दिशा के साथ मिलकर, एक भयावह बग ढूंढा जिसे मानव ऑडिटर चार साल तक खोज नहीं पाए—और ऐसा मॉडल के रिलीज़ होने के एक दिन के भीतर किया । यह प्रदर्शित करता है कि अत्याधुनिक एआई जटिल क्रिप्टोग्राफिक प्रणालियों के लिए सुरक्षा ऑडिट की गति, गहराई और पूर्णता में नाटकीय रूप से सुधार कर सकता है। अनुवर्ती मिथोस ऑडिट जिसने शेष प्रोटोकॉल को मंजूरी दे दी, एक ऐसे भविष्य का सुझाव देता है जहां एआई-संचालित निरंतर ऑडिटिंग उच्च-दांव वाले बुनियादी ढांचे के लिए मानक अभ्यास बन जाए
।
हॉर्नबी का दृष्टिकोण—केवल मॉडल को प्रॉम्प्ट करने के बजाय एक कस्टम एजेंटिक फ्रेमवर्क का निर्माण—ने यह भी दिखाया कि सबसे शक्तिशाली रक्षात्मक अनुप्रयोग एआई को व्यवस्थित सुरक्षा कार्यप्रवाहों में एकीकृत करने से आते हैं, न कि इसे एक स्टैंडअलोन ओरेकल के रूप में देखने से।
आक्रामक निहितार्थ भी उतने ही स्पष्ट हैं। वही क्षमता जिसने इस बग को पाया, दुर्भावनापूर्ण तत्वों द्वारा मशीन की गति से ज़ीरो-डे कमजोरियों की खोज और शोषण करने के लिए हथियार बनाई जा सकती है । यदि किसी ब्लैक-हैट समूह ने व्हाइट-हैट शोधकर्ता से पहले Zcash पर समान तकनीकें लागू की होतीं, तो वे चुपचाप असीमित नकली सिक्के बना सकते थे, लिक्विडिटी खत्म कर सकते थे, और बिना कोई पैच लगाए गायब हो सकते थे।
ब्लूमबर्ग ने इस घटना को "एआई-हैकिंग खतरे की भयावहता" को दर्शाने वाला बताया । ब्लूमबर्ग और अन्य आउटलेट्स ने नोट किया कि इस घटना ने तत्काल सवाल खड़े कर दिए कि क्या वर्तमान जिम्मेदार प्रकटीकरण मानदंड एआई की गति से खोजी गई कमजोरियों के लिए कैलिब्रेटेड हैं
। जब एक एआई घंटों में एक गंभीर खामी ढूंढ सकता है, तो शत्रुतापूर्ण शोषण से पहले समन्वित पैचिंग की खिड़की ढह जाती है।
सुरक्षा शोधकर्ताओं ने आगाह किया है कि यह कोई सैद्धांतिक चिंता नहीं है। Zcash घटना पहला सार्वजनिक रूप से पुष्ट उदाहरण है, लेकिन यह लगभग निश्चित रूप से आखिरी नहीं होगी ।
शायद पूरे प्रकरण का सबसे परेशान करने वाला पहलू अनसुलझी अनिश्चितता है। क्योंकि Zcash एक प्राइवेसी कॉइन है, क्रिप्टोग्राफिक रूप से यह साबित करने का कोई तरीका नहीं है कि क्या इसके चार साल के जीवनकाल के दौरान इस बग का शोषण किया गया था । विकास टीम ने शोषण को "असंभावित" आंका, लेकिन उन्होंने स्वीकार किया कि वे सचमुच इसकी पुष्टि नहीं कर सकते
। यह एक स्थायी विश्वास की समस्या पैदा करता है—न केवल Zcash के लिए, बल्कि किसी भी गोपनीयता-संरक्षण प्रणाली के लिए जहां एक खामी का खोज से पहले चुपचाप शोषण किया जा सकता था।
Zcash घटना उस युग के अंत का प्रतीक है जिसमें क्रिप्टोग्राफिक प्रोटोकॉल सुरक्षा पूरी तरह से आवधिक मानव ऑडिट पर निर्भर रह सकती थी। एआई-सहायता प्राप्त कमजोरी की खोज अब एक प्रदर्शित क्षमता है, जिसके सभी असममित शक्ति निहितार्थ हैं।
प्रोटोकॉल डेवलपर्स के लिए, निहितार्थ स्पष्ट हैं: निरंतर सुरक्षा समीक्षा पाइपलाइनों में अत्याधुनिक एआई मॉडलों को एकीकृत करना अब वैकल्पिक नहीं है—यह एक अनिवार्यता है, क्योंकि विरोधी निश्चित रूप से ऐसा ही करेंगे। एआई समुदाय के लिए, यह घटना उन क्षमताओं की विचारशील तैनाती की आवश्यकता को मजबूत करती है जिन्हें आसानी से आक्रमण के लिए पुनर्निर्मित किया जा सकता है। और व्यापक क्रिप्टो इकोसिस्टम के लिए, यह एक कठोर अनुस्मारक के रूप में कार्य करता है कि सबसे कठोरता से समीक्षा की गई प्रणालियां भी भयावह खामियों को आश्रय दे सकती हैं जिन्हें एक सुनियोजित एआई घंटों में सतह पर ला सकता है।