Wie ein Forscher mit Claude-Code einen Milliarden-Dollar-Bug entdeckte

10. Juni 2026, 08:51 Uhr · Quelle: cryptoBro

coin, currency, ethereum, ether, bitcoin, crypto currency, block chain, finance, dice, digital

Ein Forscher entdeckte mit Claude Opus 4.8 einen vier Jahre alten Fehler im Orchard-Circuit von Zcash, der eine unbemerkte Inflation von ZEC ermöglicht hätte.

Der Sicherheitsforscher Taylor Hornby von Shielded Labs entdeckte am 29. Mai 2026 einen schwerwiegenden Fehler, nur einen Tag nach der Veröffentlichung von Anthropic Opus 4.8. Dieser Fehler führte zu einem massiven Verlust in der Marktkapitalisierung des Projekts.

Der Fehler betraf einen geschützten Pool im Design des Protokolls, der private Zcash-Transaktionen ermöglichte. Die Schwere des Fehlers löste eine Notfallreaktion im gesamten Ökosystem aus und führte zu einem plötzlichen Ausverkauf, bei dem der Preis von ZEC um etwa 60% einbrach und mehr als $4 Milliarden an Marktkapitalisierung verloren gingen.

Im Kern handelte es sich um eine fehlende Einschränkung im Orchard-Circuit von Zcash, die es einem böswilligen Akteur ermöglicht hätte, dieselbe geschützte Note mehrfach auszugeben, indem er unterschiedliche Nullifier erzeugte. Dies hätte zu einer unbemerkten Inflation von ZEC im Orchard-Pool führen können.

Besorgniserregend ist, dass dieser Fehler seit der Einführung von Orchard im Mai 2022 bestand. Die Gesamtexpositionszeit betrug somit etwa vier Jahre, bevor der Fehler kurz nach Hornbys Entdeckung behoben wurde.

KI half bei der Entdeckung der kritischen Schwachstelle

Die Geschichte dreht sich nicht nur um den Fehler selbst, sondern auch um die Art und Weise, wie er entdeckt wurde.

Hornby nutzte ein maßgeschneidertes "zcash-full-stack-auditor"-Agenten-Framework mit Claude Opus 4.8. Dieses war darauf ausgelegt, mit maximalem Aufwand zu arbeiten und war auf die halo2-Implementierung einschließlich des Orchard-Circuits ausgerichtet. Die KI suchte nach Problemen in Bezug auf Soundness und Zero-Knowledge-Sicherheit.

Der Forscher berichtete, dass gegen 18 Uhr am 29. Mai einer der Audit-Agenten eine Schwachstelle meldete, die möglicherweise zur doppelten Ausgabe von Orchard-Noten genutzt werden könnte. Hornby nutzte Claude, um einen Proof-of-Concept-Code für einen ähnlichen Circuit zu schreiben und testete das Problem dann am echten Orchard-Circuit.

Testen des Exploits mit Claude

Hornby erstellte später einen vollständigen Test im lokalen Regtest-Modus von Zcash, bei dem der Exploit den Wert einer Orchard-Note verdoppelte, bis der Test-Wallet-Saldo 10 Millionen ZEC überschritt. Diese Transaktionen wurden natürlich nie im Mainnet oder Testnet gesendet, aber der Test war bedeutend, da Regtest die gleichen Validierungsregeln anwendet, was bedeutet, dass es im Mainnet mit dem gleichen Erfolg hätte durchgeführt werden können.

Laut der offiziellen Offenlegung dauerte die vollständige Entwicklung des PoC mit Hilfe von Claude Code etwa sechs Stunden. Hornby erklärte, dass das Modell nur wenig Anleitung benötigte, abgesehen von einigen Hinweisen.

Es ist wichtig zu verstehen, dass dies nicht bedeutet, dass die KI Zcash eigenständig "gehackt" hat. Taylor Hornby ist ein renommierter Spezialist für Sicherheitsforschung. Der Audit war gezielt und die Werkzeuge waren maßgeschneidert.

Dennoch zeigt der Fall, wie einige fortschrittliche KI-Modelle beginnen, die Zeit für die Untersuchung hochkomplexer technischer Systeme erheblich zu verkürzen.

Finanzen / Crypto / Zcash / Anthropic / Claude / Orchard / Zero Knowledge
10.06.2026 · 08:51 Uhr
[0 Kommentare]