Zcash-Gründer Zooko Wilcox gab bekannt, dass ein Sicherheitsaudit, das vom KI-Modell Anthropic Mythos durchgeführt wurde, nach der Behebung eines zuvor entdeckten Fehlers, der Transaktionsbetrug ermöglichte, keine schwerwiegenden Schwachstellen im Protokoll der auf Datenschutz ausgerichteten Kryptowährung festgestellt hat.
Audit im Auftrag von Shielded Labs
Die Prüfung wurde von Shielded Labs, einer Schweizer Non-Profit-Stiftung zur Förderung der Zcash-Entwicklung, initiiert. Laut Wilcox ergab die KI-Prüfung „keine neuen schwerwiegenden Fehler“ im Zcash-Protokoll.
Am 3. Juni setzten die Zcash-Entwickler die Transaktionen im Orchard-Pool vorübergehend aus, nachdem sie eine Sicherheitslücke im sicheren Pool entdeckt hatten. Die Funktionalität wurde noch am selben Tag durch ein Notfall-Update wiederhergestellt. Ursache war ein vier Jahre alter Fehler im sicheren Orchard-Pool, der Datenmanipulation ermöglichte und von dem Sicherheitsforscher Taylor Hornby mithilfe von Claude Opus 4.8 entdeckt wurde. Die Zcash Foundation bestätigte, dass keine Anzeichen für eine Ausnutzung der Sicherheitslücke festgestellt wurden, keine unautorisierte Coin-Erstellung beobachtet wurde und die vertraulichen Daten der Nutzer nicht gefährdet waren.
KI-Modelle: Verteidigungsinstrument und Bedrohung zugleich
Während Entwickler neue KI-Modelle nutzen, um Schwachstellen aufzuspüren, schafft dieselbe Technologie gleichzeitig neue Risiken für die Branche.
Kürzlich veröffentlichte Anthropic die erste öffentliche Version des Claude-Mythos-Modells, Fable 5. Einen Monat zuvor hatte das Unternehmen berichtet, dass Mythos über 10.000 hoch- und kritisch schwerwiegende Schwachstellen in systemrelevanter Software identifiziert hatte. Dies löste eine hitzige Debatte darüber aus, ob das Modell öffentlich zugänglich gemacht werden sollte.
Anthropic versicherte den Nutzern, dass Fable 5 „für den allgemeinen Gebrauch angepasst“ und mit Sicherheitsmechanismen ausgestattet sei: Anfragen zu verschiedenen Themen, darunter Cybersicherheit, wurden automatisch an das Modell Claude Opus 4.8 weitergeleitet. Nur wenige Tage später sperrte das Unternehmen jedoch den Zugriff auf die Modelle Fable 5 und Mythos 5 – auf Verlangen der US-Exportkontrollbehörden, die Bedenken hinsichtlich der nationalen Sicherheit äußerten.
Die DeFi-Schwachstellen-Apokalypse
Die zunehmende Verbreitung leistungsstarker KI-Modelle verschiebt das Machtverhältnis in der Cybersicherheit – und zwar nicht zugunsten der Verteidiger. Mitchell Amador, Leiter der Bug-Bounty-Plattform Immunefi, beschrieb die Situation als „Schwachstellenapokalypse“: Angreifer erhalten Zugang zu Werkzeugen, die zuvor nur erfahrenen Sicherheitsforschern zur Verfügung standen, und lösen damit eine Welle von Hackerangriffen im Bereich der dezentralen Finanzen (DeFi) aus.
Statistiken bestätigen den Alarm: Laut DefiLlama erreichten die Verluste durch Hackerangriffe in der Kryptoindustrie im April 634 Millionen US-Dollar – der höchste monatliche Wert seit dem Bybit-Hack, bei dem im Februar 2025 rund 1,4 Milliarden US-Dollar gestohlen wurden.
Die Ergebnisse des Zcash-Audits belegen, dass KI Schwachstellen effektiv erkennen kann, bevor diese ausgenutzt werden. Die Sperrung des Zugangs zu Fable 5 und Mythos 5 auf Anordnung der US-Behörden zeigt zudem, dass Regulierungsbehörden die Verbreitung leistungsstarker KI-Tools zunehmend genau überwachen.
Meinung der KI
Aus der Perspektive der Zero-Knowledge-Proof-Architektur wirft der Zcash-Fall eine Frage auf, die über den konkreten Vorfall hinausgeht. Der Fehler blieb vier Jahre lang im Design von Halo 2 bestehen – und das ist keine Ausnahme, sondern die Regel: Die Spezialisten von Veridise identifizieren in jedem ZK-Audit kritische Schwachstellen. Das Problem ist systembedingt: Mathematisch komplexe Constraint-Schemata sind für Menschen schwer zu überprüfen, und genau hier verschaffen sich KI-Modelle einen strukturellen Vorteil gegenüber traditionellen Prüfern.
Die zentrale Frage, die der Zcash-Skandal offenlässt, betrifft unentdeckte Sicherheitslücken. Die Vertraulichkeit des Orchard-Pools schließt eine nachträgliche Überprüfung des ZEC-Angebots über einen Zeitraum von vier Jahren grundsätzlich aus. Aus diesem Grund entwickelt Shielded Labs einen Vorschlag für einen Kontrollmechanismus, um die Integrität des Coin-Angebots zu gewährleisten. Inwieweit KI-gestützte Prüfungen diese strukturelle Lücke schließen können, bleibt abzuwarten.