W maju 2026 roku badacz bezpieczeństwa Taylor Hornby wykorzystał model Claude Opus 4.8 do odkrycia krytycznego błędu w Zcash, który od 2022 roku potencjalnie umożliwiał nieograniczone i niewykrywalne fałszowanie monet. Luka dotyczyła obwodu zero knowledgeproof w chronionej puli Orchard i mogła pozwolić na tworzenie...

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Pod koniec maja 2026 roku świat kryptowalut wstrzymał oddech. Niezależny badacz bezpieczeństwa, Taylor Hornby, korzystając z zaledwie dzień wcześniej publicznie udostępnionego modelu AI Claude Opus 4.8 od firmy Anthropic, odkrył krytyczną lukę w zabezpieczeniach Zcash – jednej z wiodących kryptowalut zapewniających prywatność . Błąd, który przeleżał w kodzie niezauważony przez cztery lata, teoretycznie pozwalał na tworzenie nieograniczonej liczby fałszywych monet ZEC, których nie sposób byłoby odróżnić od prawdziwych
. Gdy informacja ujrzała światło dzienne, wartość ZEC runęła o niemal połowę
.
Historia nie zaczęła się od prostego pytania „znajdź błędy”. Hornby, zaangażowany przez Shielded Labs do audytu protokołu Zcash, stworzył zaawansowane, niestandardowe narzędzie o nazwie „Zcash Full-Stack Auditor” . To właśnie ono, wykorzystując zdolności rozumowania Claude'a Opus 4.8, metodycznie prześledziło logikę działania chronionej puli Orchard, opartej na skomplikowanym systemie dowodów z wiedzą zerową (zero-knowledge proofs, ZKP) Halo2.
29 maja narzędzie Hornby'ego wskazało logiczną niespójność, którą ludzcy audytorzy przeoczali podczas wielu formalnych kontroli od czasu aktywacji Orchard w maju 2022 roku . Co kluczowe, Hornby nie poprzestał na teorii – z pomocą AI napisał działający exploit, który w lokalnym środowisku testowym wybił fałszywe ZEC, udowadniając realność zagrożenia
. Szybkość odkrycia – w ciągu jednej doby od premiery modelu – unaoczniła, jak wielki przełom stanowi połączenie ludzkiej ekspertyzy i zaawansowanej AI
.
Należy podkreślić, że było to osiągnięcie tandemowe: doświadczony człowiek i model AI. Sztuczna inteligencja zapewniła systematyczne rozumowanie i rozpoznawanie wzorców w gigantycznej bazie kodu, ale to badacz sformułował problem, zbudował narzędzie audytowe i zweryfikował wyniki.
Odkryta luka była krytycznym błędem „poprawności” (ang. soundness bug) w obwodzie puli Orchard, głównym mechanizmie prywatności dla chronionych transakcji Zcash . W systemach ZKP „poprawność” oznacza, że obliczeniowo niemożliwe jest stworzenie ważnego dowodu dla fałszywego twierdzenia. Obwód Orchard zawierał jednak niedostatecznie ograniczony element, który tę fundamentalną właściwość łamał. W uproszczeniu, pewna wartość głęboko w kodzie, w skrzynce z gadżetami Halo2, była „niezakotwiczona” względem rzeczywistego punktu bazowego na krzywej eliptycznej. Sprawiało to, że matematycznie nieprawidłowe dane wejściowe przechodziły kontrolę, która powinna je odrzucać
.
Rezultat? Atakujący mógłby fałszować ważne dowody ZKP, autoryzujące tworzenie nieograniczonej liczby podrobionych tokenów ZEC wewnątrz chronionej puli . Ponieważ transakcje Orchard są z założenia prywatne, fałszywe monety byłyby nie do odróżnienia od legalnych w łańcuchu bloków – nie istniałby sposób na wykrycie zawyżonej podaży
. Błąd istniał od uruchomienia Orchard, czyli przez około cztery lata
.
Co gorsza, jak oświadczyło Shielded Labs, ze względu na właściwości prywatności puli Orchard i naturę luki, nie istnieje żadna metoda kryptograficzna, by ustalić, czy ktokolwiek kiedykolwiek wykorzystał tę podatność .
Po zgłoszeniu błędu przez Hornby'ego do Zcash Open Development Lab, reakcja była błyskawiczna :
Wilcox potwierdził, że łatka została pomyślnie wdrożona przed publicznym ogłoszeniem, co oznacza, że nie doszło do utraty środków w wyniku wykorzystania luki po jej ujawnieniu . Działanie w trybie „najpierw łatka, potem informacja” było standardową praktyką zarządzania podatnościami, ale tempo – od odkrycia do sieciowego hard forka w trzy dni – było nadzwyczajne.
Po awaryjnej naprawie, na prośbę Shielded Labs, Anthropic przeprowadziło osobny, pełny audyt protokołu przy użyciu swojego zastrzeżonego, zaawansowanego modelu Mythos. Audyt, ukończony do 12 czerwca 2026 roku, potwierdził brak innych krytycznych luk . To kompleksowe sprawdzenie częściowo odbudowało zaufanie, choć fundamentalna niepewność co do ewentualnego wykorzystania błędu sprzed łatki pozostała.
Rynki zareagowały na publiczne ujawnienie informacji 4 czerwca w sposób gwałtowny. Kurs ZEC spadł w kolejnych dniach o około 40–50% . Źródła podają rozpiętość od 31% do 50%, jednak najczęściej pojawiającą się wartością jest właśnie 40–50%
.
Wyprzedaż odzwierciedlała panikę na kilku frontach. Po pierwsze, sama skala błędu – nieskończone, niewykrywalne fałszerstwo w wiodącej kryptowalucie prywatności – podkopała fundamentalne zaufanie do gwarancji bezpieczeństwa protokołu. Po drugie, fakt, że model AI znalazł lukę przeoczoną podczas lat ludzkich, formalnych audytów, wywołał niepokojące pytania o powierzchnię ataku w innych kryptowalutach, w tym Ethereum . Po trzecie, trwała niepewność, czy błąd był już wcześniej wykorzystywany, pozostawiła deficyt zaufania, którego sama techniczna poprawka nie mogła wypełnić
.
Inwestorzy przewartościowali bezpieczeństwo jednej z najważniejszych sieci prywatności w świecie krypto, a przecena była błyskawiczna i głęboka .
Incydent z Zcash jest powszechnie postrzegany jako moment przełomowy dla podwójnego zastosowania AI w obszarze krytycznego bezpieczeństwa oprogramowania .
Wartość obronna jest niezaprzeczalna. Model AI, w połączeniu z fachowym nadzorem człowieka, znalazł katastrofalny błąd, który przez cztery lata wymykał się ludzkim audytorom – i dokonał tego w ciągu doby od premiery . Dowodzi to, że zaawansowana sztuczna inteligencja może radykalnie poprawić szybkość, głębokość i kompletność audytów bezpieczeństwa złożonych systemów kryptograficznych. Przeprowadzony później audyt modelem Mythos, który oczyścił resztę protokołu, sugeruje przyszłość, w której ciągłe audyty napędzane AI staną się standardem dla infrastruktury wysokiego ryzyka
.
Podejście Hornby’ego – budowa niestandardowego, agentowego frameworka zamiast prostego monitu – pokazało też, że najpotężniejsze zastosowania obronne płyną z integracji AI w systematyczne procesy bezpieczeństwa, a nie z traktowania jej jako samodzielnej wyroczni.
Implikacje ofensywne są równie dobitne. Ta sama zdolność, która znalazła ten błąd, może zostać wykorzystana jako broń przez złośliwe podmioty do odkrywania i wykorzystywania luk zero-day z maszynową prędkością . Gdyby grupa hakerów zastosowała podobne techniki przed badaczem pracującym dla dobra sieci, mogliby po cichu wybić nieograniczone ilości fałszywych monet, opróżnić pule płynności i zniknąć – wszystko przed wdrożeniem jakiejkolwiek łatki.
Serwis Bloomberg opisał to wydarzenie jako pokazujące „skalę zagrożenia hakerskiego ze strony AI” . Bloomberg i inne media odnotowały, że incydent rodzi pilne pytania o to, czy obecne normy odpowiedzialnego ujawniania luk są adekwatne do tempa, w jakim AI może je odkrywać
. Gdy AI znajduje krytyczną lukę w kilka godzin, okno na skoordynowane łatania przed wrogą eksploatacją dramatycznie się kurczy. Eksperci ds. bezpieczeństwa ostrzegają, że nie jest to teoretyczne zmartwienie – Zcash to pierwszy publicznie potwierdzony przykład, ale z pewnością nie ostatni
.
Być może najbardziej niepokojącym aspektem całego zajścia jest nierozstrzygalna niepewność. Ponieważ Zcash jest kryptowalutą zapewniającą prywatność, nie ma kryptograficznego sposobu, by udowodnić, czy luka została wykorzystana w ciągu jej czteroletniego istnienia . Zespół deweloperski uznał wykorzystanie za „mało prawdopodobne”, ale przyznał, że dosłownie nie może tego potwierdzić
. Tworzy to trwały problem zaufania – nie tylko dla Zcash, ale dla każdego systemu chroniącego prywatność, gdzie luka mogła zostać po cichu wykorzystana przed jej odkryciem.
Incydent z Zcash wyznacza koniec ery, w której bezpieczeństwo protokołów kryptograficznych można było opierać wyłącznie na okresowych, ludzkich audytach. Odkrywanie luk z pomocą AI jest teraz udowodnioną możliwością, z całym asymetrycznym potencjałem, jaki za sobą niesie.
Dla twórców protokołów implikacje są jasne: włączenie zaawansowanych modeli AI do procesów ciągłego przeglądu bezpieczeństwa przestaje być opcją, a staje się koniecznością, ponieważ przeciwnicy z pewnością zrobią to samo. Dla społeczności AI wydarzenie to wzmacnia potrzebę przemyślanego wdrażania możliwości, które łatwo jest przystosować do celów ofensywnych. Dla szerszego ekosystemu krypto jest to dosadne przypomnienie, że nawet najbardziej rygorystycznie sprawdzane systemy mogą kryć katastrofalne wady, które dobrze ukierunkowana AI jest w stanie wydobyć na światło dzienne w ciągu kilku godzin.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
W maju 2026 roku badacz bezpieczeństwa Taylor Hornby wykorzystał model Claude Opus 4.8 do odkrycia krytycznego błędu w Zcash, który od 2022 roku potencjalnie umożliwiał nieograniczone i niewykrywalne fałszowanie monet.
W maju 2026 roku badacz bezpieczeństwa Taylor Hornby wykorzystał model Claude Opus 4.8 do odkrycia krytycznego błędu w Zcash, który od 2022 roku potencjalnie umożliwiał nieograniczone i niewykrywalne fałszowanie monet. Luka dotyczyła obwodu zero knowledgeproof w chronionej puli Orchard i mogła pozwolić na tworzenie dowodów autoryzujących fałszywe transakcje.
Incydent stanowi przełomowy przykład podwójnego zastosowania AI w cyberbezpieczeństwie – radykalnie przyspiesza audyty obronne, ale ta sama zdolność może posłużyć do wykrywania i wykorzystywania luk typu zero day prze...