Default
Door Remote - 05 Jun 2026
Een grote bug die wordt aangetroffen in het topprivacynetwerk Zcash, waarbij gebruik wordt gemaakt van kunstmatige intelligentie, kan een waarschuwing zijn dat soortgelijke onontdekte tekortkomingen bestaan in crypto- en banksoftware.
Wat de cryptogemeenschap zorgen baart, is dat de bug, die al vier jaar in het netwerk bestond, pas onlangs werd ontdekt door Shielded Labs, een non-profitontwikkelaar van het privacytokensysteem, met behulp van het onlangs uitgebrachte Opus 4.8 AI-model van Anthropic. Als de kwetsbaarheid, die volgens Zcash "is verholpen", onopgemerkt bleef, had een aanvaller een onbeperkt aantal valse tokens kunnen afdrukken.
De onthulling had al paniek veroorzaakt onder de cryptogemeenschap en zorgde ervoor dat de Zcash-token de afgelopen 24 uur met bijna 38% daalde. Sommigen zeiden zelfs op sociale media dat "Crypto dood is. We hadden op AI moeten overstappen."
De vraag die iedereen zich stelt is: nu AI steeds beter wordt en de wereld zich schrap zet voor de release van Anthropic’s nieuwste Mythos-model, dat veel beter in staat zou zijn zwakke punten in systemen te identificeren en aan elkaar te koppelen, is de veiligheid van de crypto-industrie in gevaar?
Het prominente crypto-durfkapitaalbedrijf Dragonfly (een vroege investeerder in Zcash) en zijn Managing Partner, Haseeb Qureshi, hebben echter een iets andere kijk op AI en de beveiliging van cryptovaluta. Volgens hem is het vinden van kwetsbaarheden door AI een goede zaak, omdat de code hierdoor alleen maar beter wordt.
"Hoewel AI deze bug heeft gevonden, zal AI ook de oplossing voor de hele categorie bieden: formele verificatie. Ik ben erg optimistisch over dit als de weg om alle software in de hele sector te verharden", zei hij in een X-post.
Terwijl het bedrijf van Haseeb Zcash blijft behouden en optimistisch is over de rol van AI in crypto-beveiliging, vertelde Ben Goertzel, de CEO van AI-bedrijf SingularityNET, aan CoinDesk dat soortgelijke kwetsbaarheden niet alleen beperkt zijn tot crypto-beveiliging, maar zich waarschijnlijk ook verbergen in het traditionele banksysteem.
“Andere cryptocurrencies zijn niet kwetsbaar voor deze specifieke bug, wat een simpele logische fout was in de Zcash-implementatie,” zei Goertzel, en legde uit dat andere cryptocurrencies “zeker zeer waarschijnlijk soortgelijke kwetsbaarheden zullen bezitten, die waarschijnlijk in de komende weken en maanden door AI-tools zullen worden gevonden.”
Bovendien zei Goertzel dat “de software-infrastructuren van banken en andere gecentraliseerde instellingen zeer waarschijnlijk ook ernstige bugs zullen bevatten die in de nabije toekomst door AI-tools zullen worden ontdekt.”
'Formele verificatie'Dus wat is een daadwerkelijke oplossing voor deze AI-dreiging?
Zowel Qureshi als Goertzel zeiden dat cryptografische code en de mondiale software-infrastructuur moeten overgaan naar 'formele verificatie'.
Het proces bestaat in essentie uit het ‘schrijven van bewijzen van wiskundige stellingen op zo’n manier dat deze stellingen automatisch kunnen worden gecontroleerd’, zoals Ethereum’s mede-oprichter Vitalik Buterin uitlegde. Hij merkte op dat door AI ondersteunde formele verificatie een van de belangrijkste instrumenten voor cyberbeveiliging zou kunnen worden, omdat steeds geavanceerdere AI-systemen het gemakkelijker maken om softwarekwetsbaarheden te ontdekken.
En Qureshi herhaalde dat gevoel.
"Formeel geverifieerde cryptografie mag geen implementatiefouten bevatten door de constructie", zei hij. “Op dit moment brengt AI kwetsbaarheden in al onze software aan het licht – browsers, besturingssystemen en blockchains vormen hierop geen uitzondering”, voegde hij eraan toe, waarbij hij opmerkte dat formeel geverifieerde software de “enige weg vooruit zou zijn voor missiekritieke software”, waarop Zcash de nadruk heeft gelegd op zijn routekaart.
Goertzel legde ondertussen uit waarom ontwikkelaars dit formele verificatieproces niet al gebruiken om hun software ijzersterk te maken.
Hij voerde aan dat hoewel de door Zcash gebruikte programmeertaal "Rust" formeel kan worden geverifieerd, ontwikkelaars dit zelden doen omdat het extra werk vereist. Bovendien merkte Goertzel op dat kern-Rust-bibliotheken vaak "onveilige" constructies gebruiken die moeilijk te verifiëren zijn.
Als u ze echter voor de zekerheid zou herschrijven, zou de software langzamer worden: een probleem, zo stelde hij, dat opgelost zou kunnen worden door geavanceerde technieken zoals "supercompilatie" te gebruiken om de prestaties te verbeteren.
Een asymmetrische veiligheidsoorlog Maar het implementeren van deze beschermingen is gemakkelijker gezegd dan gedaan, vertelde CEO en mede-oprichter van beveiligingsbedrijf CertiK, Ronghui Gu, aan CoinDesk.
De verdediging tegen deze bedreigingen is een ongelijke strijd geworden, zei Gu.
“We zien momenteel een AI-tokenconsumptieoorlog waarin hackers zeer gemotiveerd zijn door winst, zei hij. “Om een exploit te vinden, kunnen ze een enorm aantal AI-tokens op één enkel doel verbranden, zoals een project of een slim contract.”
Gu legde uit dat op winst gerichte hackers momenteel verwikkeld zijn in een symbolische consumptieoorlog, waarbij enorme hoeveelheden rekenkracht worden verbrand om individuele slimme contracten aan te vallen. Omdat beveiligingsbedrijven honderden klanten tegelijkertijd moeten beschermen, kunnen ze niet dezelfde geconcentreerde middelen aan één enkel doelwit toewijzen zonder aanzienlijke kapitaalkosten te moeten maken.
Om zich tegen dit asymmetrische risico te beschermen, zegt Gu dat beveiligingsbedrijven geautomatiseerde scanners rechtstreeks in de dagelijkse ontwikkelingsworkflows moeten integreren via kleinere, on-demand sessies, terwijl ze moeten vertrouwen op wiskundige bewijzen om te garanderen dat contracten voldoen aan belangrijke beveiligingseigenschappen.
Voor Gu is de uitdaging niet langer simpelweg het vinden van bugs voordat aanvallers dat doen; het gaat veeleer om het snel genoeg opschalen van de verdediging tegen deze kwetsbaarheden om gelijke tred te kunnen houden met de steeds krachtiger wordende AI-systemen.
Hoewel het debat over hoe je dergelijke kwetsbaarheden voor kunt blijven waarschijnlijk zal voortduren naarmate AI beter, sneller en slimmer wordt, is de vraag voor alle ontwikkelaars hoe ze ervoor kunnen zorgen dat dergelijke incidenten nooit meer voorkomen.
Misschien heeft ZODL CEO Josh Swihart (voormalig CEO van Electric Coin Company, een belangrijke ontwikkelaar van Zcash) het treffend gezegd:
"De interessantere vraag is hoe we ervoor kunnen zorgen dat kwetsbaarheden nooit meer voorkomen. Het beste antwoord is formele verificatie", zei Swihart in zijn X-artikel, getiteld "Never Again."
Wat de cryptogemeenschap zorgen baart, is dat de bug, die al vier jaar in het netwerk bestond, pas onlangs werd ontdekt door Shielded Labs, een non-profitontwikkelaar van het privacytokensysteem, met behulp van het onlangs uitgebrachte Opus 4.8 AI-model van Anthropic. Als de kwetsbaarheid, die volgens Zcash "is verholpen", onopgemerkt bleef, had een aanvaller een onbeperkt aantal valse tokens kunnen afdrukken.
De onthulling had al paniek veroorzaakt onder de cryptogemeenschap en zorgde ervoor dat de Zcash-token de afgelopen 24 uur met bijna 38% daalde. Sommigen zeiden zelfs op sociale media dat "Crypto dood is. We hadden op AI moeten overstappen."
De vraag die iedereen zich stelt is: nu AI steeds beter wordt en de wereld zich schrap zet voor de release van Anthropic’s nieuwste Mythos-model, dat veel beter in staat zou zijn zwakke punten in systemen te identificeren en aan elkaar te koppelen, is de veiligheid van de crypto-industrie in gevaar?
Het prominente crypto-durfkapitaalbedrijf Dragonfly (een vroege investeerder in Zcash) en zijn Managing Partner, Haseeb Qureshi, hebben echter een iets andere kijk op AI en de beveiliging van cryptovaluta. Volgens hem is het vinden van kwetsbaarheden door AI een goede zaak, omdat de code hierdoor alleen maar beter wordt.
"Hoewel AI deze bug heeft gevonden, zal AI ook de oplossing voor de hele categorie bieden: formele verificatie. Ik ben erg optimistisch over dit als de weg om alle software in de hele sector te verharden", zei hij in een X-post.
Terwijl het bedrijf van Haseeb Zcash blijft behouden en optimistisch is over de rol van AI in crypto-beveiliging, vertelde Ben Goertzel, de CEO van AI-bedrijf SingularityNET, aan CoinDesk dat soortgelijke kwetsbaarheden niet alleen beperkt zijn tot crypto-beveiliging, maar zich waarschijnlijk ook verbergen in het traditionele banksysteem.
“Andere cryptocurrencies zijn niet kwetsbaar voor deze specifieke bug, wat een simpele logische fout was in de Zcash-implementatie,” zei Goertzel, en legde uit dat andere cryptocurrencies “zeker zeer waarschijnlijk soortgelijke kwetsbaarheden zullen bezitten, die waarschijnlijk in de komende weken en maanden door AI-tools zullen worden gevonden.”
Bovendien zei Goertzel dat “de software-infrastructuren van banken en andere gecentraliseerde instellingen zeer waarschijnlijk ook ernstige bugs zullen bevatten die in de nabije toekomst door AI-tools zullen worden ontdekt.”
'Formele verificatie'Dus wat is een daadwerkelijke oplossing voor deze AI-dreiging?
Zowel Qureshi als Goertzel zeiden dat cryptografische code en de mondiale software-infrastructuur moeten overgaan naar 'formele verificatie'.
Het proces bestaat in essentie uit het ‘schrijven van bewijzen van wiskundige stellingen op zo’n manier dat deze stellingen automatisch kunnen worden gecontroleerd’, zoals Ethereum’s mede-oprichter Vitalik Buterin uitlegde. Hij merkte op dat door AI ondersteunde formele verificatie een van de belangrijkste instrumenten voor cyberbeveiliging zou kunnen worden, omdat steeds geavanceerdere AI-systemen het gemakkelijker maken om softwarekwetsbaarheden te ontdekken.
En Qureshi herhaalde dat gevoel.
"Formeel geverifieerde cryptografie mag geen implementatiefouten bevatten door de constructie", zei hij. “Op dit moment brengt AI kwetsbaarheden in al onze software aan het licht – browsers, besturingssystemen en blockchains vormen hierop geen uitzondering”, voegde hij eraan toe, waarbij hij opmerkte dat formeel geverifieerde software de “enige weg vooruit zou zijn voor missiekritieke software”, waarop Zcash de nadruk heeft gelegd op zijn routekaart.
Goertzel legde ondertussen uit waarom ontwikkelaars dit formele verificatieproces niet al gebruiken om hun software ijzersterk te maken.
Hij voerde aan dat hoewel de door Zcash gebruikte programmeertaal "Rust" formeel kan worden geverifieerd, ontwikkelaars dit zelden doen omdat het extra werk vereist. Bovendien merkte Goertzel op dat kern-Rust-bibliotheken vaak "onveilige" constructies gebruiken die moeilijk te verifiëren zijn.
Als u ze echter voor de zekerheid zou herschrijven, zou de software langzamer worden: een probleem, zo stelde hij, dat opgelost zou kunnen worden door geavanceerde technieken zoals "supercompilatie" te gebruiken om de prestaties te verbeteren.
Een asymmetrische veiligheidsoorlog Maar het implementeren van deze beschermingen is gemakkelijker gezegd dan gedaan, vertelde CEO en mede-oprichter van beveiligingsbedrijf CertiK, Ronghui Gu, aan CoinDesk.
De verdediging tegen deze bedreigingen is een ongelijke strijd geworden, zei Gu.
“We zien momenteel een AI-tokenconsumptieoorlog waarin hackers zeer gemotiveerd zijn door winst, zei hij. “Om een exploit te vinden, kunnen ze een enorm aantal AI-tokens op één enkel doel verbranden, zoals een project of een slim contract.”
Gu legde uit dat op winst gerichte hackers momenteel verwikkeld zijn in een symbolische consumptieoorlog, waarbij enorme hoeveelheden rekenkracht worden verbrand om individuele slimme contracten aan te vallen. Omdat beveiligingsbedrijven honderden klanten tegelijkertijd moeten beschermen, kunnen ze niet dezelfde geconcentreerde middelen aan één enkel doelwit toewijzen zonder aanzienlijke kapitaalkosten te moeten maken.
Om zich tegen dit asymmetrische risico te beschermen, zegt Gu dat beveiligingsbedrijven geautomatiseerde scanners rechtstreeks in de dagelijkse ontwikkelingsworkflows moeten integreren via kleinere, on-demand sessies, terwijl ze moeten vertrouwen op wiskundige bewijzen om te garanderen dat contracten voldoen aan belangrijke beveiligingseigenschappen.
Voor Gu is de uitdaging niet langer simpelweg het vinden van bugs voordat aanvallers dat doen; het gaat veeleer om het snel genoeg opschalen van de verdediging tegen deze kwetsbaarheden om gelijke tred te kunnen houden met de steeds krachtiger wordende AI-systemen.
Hoewel het debat over hoe je dergelijke kwetsbaarheden voor kunt blijven waarschijnlijk zal voortduren naarmate AI beter, sneller en slimmer wordt, is de vraag voor alle ontwikkelaars hoe ze ervoor kunnen zorgen dat dergelijke incidenten nooit meer voorkomen.
Misschien heeft ZODL CEO Josh Swihart (voormalig CEO van Electric Coin Company, een belangrijke ontwikkelaar van Zcash) het treffend gezegd:
"De interessantere vraag is hoe we ervoor kunnen zorgen dat kwetsbaarheden nooit meer voorkomen. Het beste antwoord is formele verificatie", zei Swihart in zijn X-artikel, getiteld "Never Again."