הסיוט של עולם הקריפטו: קלוד מצא באג סודי - שמדפיס מיליארדים

מטבע הפרטיות המתוחכם Zcash, שנבנה על ידי בכירי הקריפטוגרפים בעולם ונחשב ל"שלמות מתמטית", חווה התרסקות • הסיבה: מודל ה-AI החדש של אנתרופיק, Claude 4.8, הצליח לחשוף בחשאי חולשה קריטית שהסתתרה בקוד במשך 4 שנים וחמקה מכל מומחי האבטחה האנושיים • האם שוק הנכסים הדיגיטליים מוכן לעידן שבו ה-AI מנהל את הסיכונים ואת האמון הפיננסי?

תרחיש הסיוט של עולם הקריפטו: קלוד מצא באג סודי שמדפיס מיליארדים יש מאין. צילום: Gemini

זה היה אמור להיות אחד ממטבעות הקריפטו הקרובים ביותר לשלמות מתמטית. Zcash נבנה על ידי כמה מהקריפטוגרפים המובילים בעולם, נשען על מחקר אקדמי פורץ דרך ונחשב במשך שנים לאחת המערכות המתוחכמות ביותר בתחום הפרטיות הדיגיטלית. אלא שבסוף חודש מאי הצליח חוקר אבטחה, בסיוע מודל הבינה המלאכותית Claude Opus 4.8 של אנתרופיק, לחשוף חולשה חמורה שהסתתרה בקוד במשך ארבע שנים. החולשה הייתה עלולה לאפשר לתוקף ליצור כמות בלתי מוגבלת של מטבעות חדשים מבלי שהרשת תוכל לזהות זאת.

אחד ממייסדי קלוד: "קיימת אפשרות ממשית שה-AI יחליף כוח עבודה אנושי" // רויטרס

החשיפה הובילה לצניחה של עשרות אחוזים במחיר המטבע בתוך שעות, וערערה את אחד הנרטיבים החזקים ביותר בעולם הקריפטו: האמונה כי מתמטיקה מתוחכמת וביקורות קוד קפדניות מסוגלות להבטיח מערכת כמעט חסינה. במקביל, היא סיפקה הצצה לעידן חדש שבו AI הופך לשחקן בעל השפעה ממשית על שווקים פיננסיים ועל האמון במערכות דיגיטליות.

המטבע שנועד להסתיר את העסקה

בניגוד לתפיסה הרווחת, ביטקוין אינו אנונימי. כל עסקה מתועדת בפומבי וניתנת למעקב. מי שמצליח לקשר כתובת מסוימת לאדם אמיתי יכול לראות את היסטוריית העסקאות שלו. Zcash נוצר כדי לפתור בדיוק את הבעיה הזו.

המטבע מבוסס על טכנולוגיית Zero Knowledge Proofs, או "הוכחות אפס ידע". הרשת מסוגלת לוודא שעסקה תקינה מבלי לחשוף מי שלח את הכסף, למי הוא נשלח ומה היה הסכום. במשך שנים נחשבה הגישה הזו לאחד ההישגים המרשימים ביותר של הקריפטוגרפיה המודרנית.

שורשי הפרויקט נטועים בעולם האקדמי. Zcash נולד מתוך מחקר בשם Zerocash, שבו השתתפו חוקרים מג'ונס הופקינס, MIT, הטכניון ואוניברסיטת תל אביב. אחד השמות הבולטים בצוות היה הקריפטוגרף הישראלי אלי בן-ששון, לימים ממייסדי StarkWare. עבור רבים בקהילת הקריפטו, Zcash היה הוכחה לכך שניתן להפוך רעיונות מתמטיים מורכבים למערכת פיננסית אמיתית.

Zcash, צילום: ללא

החולשה שהתגלתה הסתתרה במערכת Orchard, הדור החדש של מנגנון הפרטיות של Zcash, שהושק ב-2022. לפי Shielded Labs, המובילה את פיתוח המטבע, הפגם היה עלול לאפשר יצירת מטבעות יש מאין. זהו תרחיש הסיוט של כל מטבע דיגיטלי: לא גניבה או פריצה, אלא יצירת כסף חדש בניגוד לכללי המערכת.

הבעיה חמורה במיוחד משום שבניגוד לביטקוין, שבו ניתן לעקוב אחר כל מטבע שנוצר, Zcash מסתיר חלק ניכר מהמידע באמצעות מנגנוני ההצפנה שלו. המשמעות היא שגם אם מישהו היה מנצל את החולשה, ייתכן שלא ניתן היה לדעת זאת בוודאות.

ארבע שנים של ביקורות ו-AI אחד

הסיפור קיבל תפנית יוצאת דופן כאשר התברר כיצד נמצאה החולשה. טיילור הורנבי, חוקר אבטחה ותיק, בחן את Orchard באמצעות Claude Opus 4.8 של אנתרופיק, שיצא לשוק רק באחרונה. לפי התיאור הרשמי, המודל הצביע על כיוון חשוד. הורנבי המשיך לחקור, אימת את הממצאים ולבסוף הצליח לבנות הוכחת היתכנות מלאה. ב-29 במאי הוא דיווח על הבעיה באופן חסוי. בתוך ימים בוצעו תיקונים, הוטמעו עדכוני רשת ורק לאחר מכן פורסם המידע לציבור.

תגובת השוק הייתה מיידית. המטבע צנח בכ-30%-40% ביום אחד, ובשיא הירידות נסחר בכמחצית משוויו לפני החשיפה. עבור מטבע שמחזור השוק שלו הגיע למיליארדי דולרים, מדובר במחיקת ערך משמעותית בזמן קצר במיוחד. אף שהמטבע התאושש חלקית, הוא עדיין רחוק מרמות המחיר שבהן נסחר לפני הפרשה.

קלוד Mythos, צילום: mezha

הירידות שיקפו בעיקר פגיעה באמון. גם אם אין כיום עדויות לכך שהחולשה נוצלה בפועל, עצם העובדה שבמשך ארבע שנים הסתתרה במערכת חולשה שהייתה עלולה לאפשר יצירת מטבעות ללא הגבלה העלתה שאלה מטרידה: האם ניתן להוכיח בוודאות שהיא לא נוצלה בעבר? זו הסיבה שב-Shielded Labs כבר בוחנים מנגנונים חדשים להוכחת תקינות היצע המטבע.

הסנונית הראשונה של עידן חדש

בקהילת הקריפטו התנהל ויכוח סוער. חלק ראו באירוע פגיעה קשה במטבע שנבנה סביב הבטחה לקריפטוגרפיה מתקדמת במיוחד. אחרים טענו כי הגילוי, הדיווח האחראי והתיקון המהיר דווקא מעידים על בגרות הפרויקט. אולם רבים התמקדו בעובדה שמודל AI הצליח לסייע בגילוי חולשה שחמקה מעיניהם של מומחי קריפטוגרפיה וחוקרי אבטחה במשך שנים.

"מה שבני אדם לא מצאו במשך ארבע שנים, מודל AI מצא תוך יממה - וזה כל הסיפור של Zcash", אומר שי פרידמן, CTO בחברת שירותי הפיתוח CodeValue. לדבריו, "מודלי AI מתקדמים, כש-Mythos הוא רק הסנונית הראשונה מביניהם, הופכים את חיפוש החולשות מתהליך יקר, איטי ותלוי במומחי־על, לפעילות שניתן לבצע במהירות, בהיקף עצום ובמקביל".

עם זאת, פרידמן מדגיש כי מדובר בחרב פיפיות. "פרויקטי בלוקצ'יין חשופים במיוחד - הקוד שלהם פתוח לעיתים קרובות, המערכות מורכבות מאוד, קשה לעדכן אותן במהירות, וכל תקלה עלולה לפגוע ישירות בכסף ובאמון. אך קוד פתוח אינו רק חולשה - הוא גם מאפשר למגינים להשתמש באותם מודלים כדי לאתר ולתקן בעיות לפני התוקפים".

שי פרידמן, CTO בחברת שירותי הפיתוח CodeValue, צילום: יחצ

פרשת Zcash מציבה סימן שאלה רחב יותר מעל עולם הנכסים הדיגיטליים. כל מטבע קריפטוגרפי הוא בסופו של דבר תוכנה, וכל תוכנה מכילה פוטנציאל לבאגים, חולשות ומניפולציות. ככל שחלקים גדולים יותר של המערכת הפיננסית עוברים לבלוקצ'יין ולנכסים דיגיטליים, כך גדלה גם החשיפה לאירועים מסוג זה.

במקביל, אותם מודלים שמסייעים למגינים עשויים לסייע גם לתוקפים. אנתרופיק כבר החלה לחשוף בהדרגה את מודל הסייבר המתקדם Mythos לגופים פיננסיים וחוקרי אבטחה, בניסיון לאפשר להם להתכונן לעידן שבו בינה מלאכותית תוכל למצוא חולשות בקצב שלא היה אפשרי בעבר.

"ההשקה המדורגת של אנתרופיק היא צעד אחראי", אומר פרידמן, "אבל חלון ההיערכות הזה אינו ביטוח. הוא רק מעניק יתרון זמני לארגונים שמנצלים אותו. האחרים עלולים לגלות שהפער לא נפתח בהדרגה, אלא ביום אחד".

החולשה תוקנה, והרשת ממשיכה לפעול. אך השאלות שהעלתה הפרשה רחוקות מלהיעלם. אם אפילו אחד הפרויקטים הקריפטוגרפיים המחקריים והמבוקרים ביותר בעולם התגלה כפגיע, מה זה אומר לגבי שאר המערכת? ייתכן שבעתיד ייזכר האירוע הזה לא רק כמשבר של זיקאש, אלא כאחד המקרים הראשונים שבהם בינה מלאכותית השפיעה באופן ישיר על אמון המשקיעים ועל שוק פיננסי שלם.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

עקבו אחרינו

G o o g l e News

AI אנתרופיק בינה מלאכותית מטבעות קריפטוגרפיים קלוד קריפטו

כדאי להכיר

חלון ההזדמנויות בכפר גנים נסגר

קבוצת אלמוג מציגה את פרויקט MALA: מגדלי הפרימיום האחרונים בפתח תקווה

בשיתוף קבוצת אלמוג