ในวันที่ 29 พฤษภาคม เฟรมเวิร์กดังกล่าวได้เปิดเผยให้เห็นถึงความไม่สอดคล้องกันทางตรรกะที่ผู้ตรวจสอบที่เป็นมนุษย์พลาดไปในการตรวจสอบอย่างเป็นทางการหลายครั้ง นับตั้งแต่ที่ Orchard เริ่มใช้งานในเดือนพฤษภาคม 2022 Hornby ไม่ได้แค่บันทึกจุดอ่อนในทางทฤษฎี แต่เขาใช้วิธีการที่ AI ช่วยเหลือนี้เพื่อเขียนโค้ดที่ใช้โจมตี (Exploit) ได้จริง และสามารถสร้างเหรียญ ZEC ปลอมขึ้นมาในสภาพแวดล้อมทดสอบภายในเครื่องได้สำเร็จ
ความเร็วในการค้นพบ ภายในหนึ่งวันหลังจากที่โมเดลถูกปล่อยสู่สาธารณะ ตอกย้ำให้เห็นถึงการเปลี่ยนแปลงครั้งใหญ่ในสิ่งที่การวิจัยด้านความปลอดภัยที่เสริมด้วย AI สามารถทำได้
สิ่งสำคัญที่ต้องเน้นย้ำคือ ความสำเร็จนี้เกิดจาก การทำงานร่วมกัน ระหว่างผู้เชี่ยวชาญที่เป็นมนุษย์กับโมเดลระดับแนวหน้า AI เป็นผู้ให้เหตุผลและการจดจำรูปแบบอย่างเป็นระบบบนฐานโค้ดขนาดใหญ่ ส่วนนักวิจัยที่เป็นมนุษย์เป็นผู้วางกรอบปัญหา สร้างเครื่องมือสำหรับการตรวจสอบ และตรวจสอบยืนยันสิ่งที่ค้นพบ
ช่องโหว่นี้เป็นบั๊กด้านความสมเหตุสมผล (Soundness Bug) ที่สำคัญในวงจร Orchard Shielded Pool ซึ่งเป็นกลไกความเป็นส่วนตัวหลักสำหรับธุรกรรมแบบ Shielded ของ Zcash ในระบบ Zero-Knowledge Proof นั้น "ความสมเหตุสมผล" หมายความว่า ต้องเป็นไปไม่ได้ในทางคอมพิวเตอร์ที่จะสร้างหลักฐาน (Proof) ที่ถูกต้องสำหรับข้อความที่เป็นเท็จ วงจร Orchard มีองค์ประกอบที่มีข้อจำกัดไม่เพียงพอ (Under-Constrained) ซึ่งทำลายคุณสมบัตินี้
โดยเฉพาะอย่างยิ่ง ค่าบางอย่างที่อยู่ลึกเข้าไปใน Halo2 gadgets crate ไม่ได้ถูกผูกโยงกับจุดฐาน (Base Point) จริง ส่งผลให้อินพุตที่ไม่ถูกต้องทางคณิตศาสตร์สามารถผ่านการตรวจสอบ Elliptic-Curve ไปได้ ถ้าจะให้เข้าใจง่ายๆ ก็คือ การตรวจสอบที่ควรจะยืนยันความถูกต้องของอินพุตธุรกรรม ไม่ได้บังคับใช้กฎอย่างที่มันควรจะเป็น
ผลลัพธ์คือ ผู้โจมตีสามารถปลอมแปลง Zero-Knowledge Proof ที่ถูกต้อง ซึ่งอนุญาตให้สร้างเหรียญ ZEC ปลอมได้ไม่จำกัดจำนวนภายใน Shielded Pool
เนื่องจากธุรกรรม Orchard ถูกออกแบบมาให้เป็นส่วนตัว เหรียญปลอมที่สร้างขึ้นจะไม่สามารถแยกแยะจากเหรียญจริงได้บนบล็อกเชน จะไม่มีทางตรวจสอบบล็อกเชนแล้วเห็นเหรียญปลอมเหล่านั้น บั๊กนี้ปรากฏอยู่ตั้งแต่เริ่มใช้ Orchard ในเดือนพฤษภาคม 2022 หมายความว่ามันถูกตรวจไม่พบมาเป็นเวลาประมาณ 4 ปี
และที่สำคัญที่สุด เนื่องจากคุณสมบัติความเป็นส่วนตัวของ Orchard และธรรมชาติของข้อบกพร่อง Shielded Labs ระบุว่าไม่มีวิธีการใดๆ ทางคริปโตกราฟีที่จะระบุได้ว่ามีใครเคยใช้ประโยชน์จากช่องโหว่นี้ในโลกจริงหรือไม่ ความไม่แน่นอนนี้กลายเป็นบ่อเกิดของความวิตกกังวลหลักหลังจากการเปิดเผยข้อมูล
Wilcox ยืนยันว่าแพตช์ถูกปรับใช้สำเร็จก่อนการประกาศสู่สาธารณะ หมายความว่าไม่มีเงินทุนใดๆ ที่ทราบได้ว่าสูญเสียไปจากการโจมตีหลังจากการเปิดเผยข้อมูล วิธีการแบบ "แพตช์ก่อน เปิดเผยทีหลัง" ที่ทำงานประสานกันนี้เป็นไปตามแนวปฏิบัติมาตรฐานในการจัดการช่องโหว่ แต่ความเร็วที่ต้องใช้ ตั้งแต่การค้นพบไปจนถึงการ Hard Fork ทั่วทั้งเครือข่ายในสามวันนั้นน่าทึ่งมาก
หลังจากแก้ไขฉุกเฉิน Shielded Labs ได้ขอให้ Anthropic เรียกใช้การตรวจสอบโปรโตคอลแบบเต็มรูปแบบแยกต่างหาก โดยใช้โมเดลขั้นสูงที่มีการจำกัดการเข้าถึงชื่อว่า Mythos ผลการตรวจสอบนั้นยืนยันว่าไม่มีช่องโหว่ร้ายแรงเพิ่มเติมในโปรโตคอล ณ วันที่ 12 มิถุนายน 2026 การตรวจสอบที่ครอบคลุมนี้ช่วยฟื้นคืนความเชื่อมั่นได้ส่วนหนึ่ง แม้ว่าความไม่แน่นอนหลักเกี่ยวกับการโจมตีก่อนการแพตช์จะยังคงอยู่ก็ตาม
ตลาดตอบสนองอย่างรุนแรงต่อการเปิดเผยข้อมูลสาธารณะในวันที่ 4 มิถุนายน ราคาของ ZEC ลดลงประมาณ 40-50% ในวันต่อมา โดยรายงานระบุว่าเหรียญร่วงลง "จากระดับที่สูงกว่ามากเมื่อไม่กี่สัปดาห์ก่อน" เข้าสู่ภาวะดิ่งลงเหว หลายแหล่งข่าวอ้างถึงช่วงการลดลงระหว่าง 31% ถึง 50% โดยขนาดความรุนแรงที่ถูกอ้างถึงบ่อยที่สุดคือประมาณ 40-50%
การเทขายสะท้อนให้เห็นถึงความตื่นตระหนกในหลายด้าน ประการแรก ความรุนแรงของบั๊กเอง — การปลอมแปลงที่ไม่มีที่สิ้นสุดและตรวจไม่พบในเหรียญความเป็นส่วนตัวชั้นแนวหน้า — ได้บั่นทอนความเชื่อมั่นพื้นฐานในการรับประกันความปลอดภัยของโปรโตคอล ประการที่สอง การที่โมเดล AI พบข้อบกพร่องที่การตรวจสอบอย่างเป็นทางการโดยมนุษย์พลาดมานานหลายปี ทำให้เกิดคำถามที่ไม่สบายใจเกี่ยวกับพื้นผิวของช่องโหว่ (Vulnerability Surface) ของคริปโตเคอร์เรนซีอื่นๆ รวมถึง Ethereum ประการที่สาม ความไม่แน่นอนถาวรที่ว่าบั๊กนี้เคยถูกโจมตีมาแล้วหรือไม่ ทำให้เกิดปัญหาด้านความน่าเชื่อถือที่การแก้ไขทางเทคนิคเพียงอย่างเดียวไม่สามารถปิดได้
นักลงทุนประเมินความปลอดภัยของหนึ่งในเครือข่ายความเป็นส่วนตัวที่โดดเด่นที่สุดของโลกคริปโตใหม่ และการปรับราคาก็เกิดขึ้นอย่างรวดเร็วและรุนแรง
เหตุการณ์ Zcash ถูกมองอย่างกว้างขวางว่าเป็นจุดเปลี่ยนสำหรับศักยภาพการใช้งานสองด้านของ AI ในความปลอดภัยของซอฟต์แวร์ที่สำคัญ
คุณค่าในเชิงการป้องกันนั้นชัดเจน โมเดล AI เมื่อรวมกับคำสั่งจากผู้เชี่ยวชาญมนุษย์ สามารถค้นพบบั๊กที่ร้ายแรงซึ่งผู้ตรวจสอบที่เป็นมนุษย์พลาดมาเป็นเวลาสี่ปี และทำได้ภายในหนึ่งวันหลังจากที่โมเดลนั้นถูกปล่อยออกมา นี่แสดงให้เห็นว่า AI ระดับแนวหน้าสามารถปรับปรุงความเร็ว ความลึก และความสมบูรณ์ของการตรวจสอบความปลอดภัยสำหรับระบบการเข้ารหัสที่ซับซ้อนได้อย่างมาก การตรวจสอบด้วย Mythos ในภายหลังที่ยืนยันว่าส่วนที่เหลือของโปรโตคอลปลอดภัย ชี้ให้เห็นถึงอนาคตที่การตรวจสอบอย่างต่อเนื่องที่ขับเคลื่อนด้วย AI กลายเป็นแนวปฏิบัติมาตรฐานสำหรับโครงสร้างพื้นฐานที่มีความเสี่ยงสูง
แนวทางของ Hornby — การสร้างเฟรมเวิร์กเอเจนต์แบบกำหนดเองแทนที่จะถามตอบกับโมเดลตรงๆ — ยังแสดงให้เห็นว่าการประยุกต์ใช้ในเชิงป้องกันที่ทรงพลังที่สุดมาจากการรวม AI เข้ากับขั้นตอนการทำงานด้านความปลอดภัยอย่างเป็นระบบ ไม่ใช่การปฏิบัติต่อมันเสมือนเป็นผู้พยากรณ์ที่ทำงานเดี่ยวๆ
นัยยะในเชิงรุกก็รุนแรงไม่แพ้กัน ศักยภาพเดียวกันกับที่พบบั๊กนี้ สามารถถูกใช้เป็นอาวุธโดยผู้ไม่หวังดีเพื่อค้นหาและใช้ประโยชน์จากช่องโหว่แบบ Zero-Day ด้วยความเร็วระดับเครื่องจักร หากกลุ่มแฮ็กเกอร์หมวกดำได้ใช้เทคนิคที่คล้ายกันนี้กับ Zcash ก่อนที่นักวิจัยหมวกขาวจะทำ พวกเขาอาจสร้างเหรียญปลอมได้ไม่จำกัดอย่างเงียบเชียบ ดูดสภาพคล่องออกไป และหายตัวไป — ทั้งหมดนี้เกิดขึ้นก่อนที่จะมีการปรับใช้แพตช์ใดๆ
สำนักข่าว Bloomberg บรรยายว่าเหตุการณ์นี้แสดงให้เห็นถึง "ความรุนแรงของภัยคุกคามจากการแฮ็กด้วย AI" Bloomberg และสำนักข่าวอื่น ๆ ตั้งข้อสังเกตว่าเหตุการณ์นี้ทำให้เกิดคำถามเร่งด่วนว่าบรรทัดฐานการเปิดเผยข้อมูลอย่างรับผิดชอบในปัจจุบันนั้นเหมาะสมกับช่องโหว่ที่ถูกค้นพบด้วยความเร็วของ AI หรือไม่
เมื่อ AI สามารถพบข้อบกพร่องร้ายแรงได้ในไม่กี่ชั่วโมง ช่วงเวลาสำหรับการแพตช์อย่างเป็นระบบก่อนที่ศัตรูจะโจมตีก็จะหดหายไป
นักวิจัยด้านความปลอดภัยได้เตือนว่านี่ไม่ใช่ความกังวลในเชิงทฤษฎี เหตุการณ์ Zcash เป็นตัวอย่างแรกที่ได้รับการยืนยันต่อสาธารณะ แต่มันเกือบจะไม่ใช่ครั้งสุดท้ายอย่างแน่นอน
บางทีแง่มุมที่น่าหนักใจที่สุดของเหตุการณ์ทั้งหมดนี้ก็คือความไม่แน่นอนที่ไม่อาจคลี่คลายได้ เนื่องจาก Zcash เป็นเหรียญความเป็นส่วนตัว จึงไม่มีทางที่จะพิสูจน์ทางคริปโตกราฟีได้ว่าบั๊กนี้ถูกโจมตีในช่วงอายุสี่ปีของมันหรือไม่ ทีมพัฒนาตัดสินว่าการถูกโจมตีนั้น "ไม่น่าเป็นไปได้" แต่พวกเขายอมรับว่าพวกเขาไม่สามารถยืนยันได้อย่างแท้จริง
สิ่งนี้สร้างปัญหาความน่าเชื่อถือที่ยั่งยืน — ไม่ใช่แค่สำหรับ Zcash แต่สำหรับระบบรักษาความเป็นส่วนตัวใดๆ ก็ตามที่ข้อบกพร่องอาจถูกโจมตีอย่างเงียบเชียบก่อนที่จะถูกค้นพบ
เหตุการณ์ Zcash ถือเป็นจุดสิ้นสุดของยุคสมัยที่ความปลอดภัยของโปรโตคอลคริปโตกราฟีสามารถพึ่งพาการตรวจสอบโดยมนุษย์เป็นระยะๆ เพียงอย่างเดียว การค้นหาช่องโหว่โดยใช้ AI ช่วยเหลือได้กลายเป็นขีดความสามารถที่ถูกแสดงให้เห็นแล้ว พร้อมกับพลังที่ไม่สมมาตรทั้งหมดที่ส่อความนัย
สำหรับนักพัฒนาโปรโตคอล นัยยะนั้นชัดเจน: การรวมโมเดล AI ระดับแนวหน้าเข้ากับกระบวนการตรวจสอบความปลอดภัยอย่างต่อเนื่องไม่ใช่ทางเลือกอีกต่อไป — มันเป็นความจำเป็น เพราะศัตรูก็จะทำแบบเดียวกันอย่างแน่นอน สำหรับชุมชน AI เหตุการณ์นี้ตอกย้ำถึงความจำเป็นในการปล่อยขีดความสามารถที่สามารถถูกนำไปใช้ในเชิงรุกได้ง่ายอย่างรอบคอบ และสำหรับระบบนิเวศของคริปโตในวงกว้าง มันเป็นเครื่องเตือนใจอย่างชัดเจนว่าแม้แต่ระบบที่ผ่านการตรวจสอบอย่างเข้มงวดที่สุด ก็อาจซุกซ่อนข้อบกพร่องร้ายแรงที่ AI ที่ได้รับการชี้แนะอย่างดี สามารถเปิดเผยได้ภายในไม่กี่ชั่วโมง