Tim 🛡️🦓

We can formally verify Zcash's shielded protocol so that the concern you're worried about -- the unique class of supply integrity vulnerabilities -- is actually *impossible.* (It mathematically reduces directly to the cryptographic assumptions.) It's something we can probably do within weeks for our *existing* protocol, because the theorems are very simple and the proofs don't have to be written or checked by humans anymore... I think this more than satisfies the concern. I've actually been talking about this for Zcash for a long time now! I've been blogging about it for nearly a year, we hired experts 6 months ago to help us formally verify our upcoming Zcash upgrade, it was the main focus of a post of mine last month... It's just that nobody really gives a shit about high assurance cryptography until there's a bug. https://t.co/cYUPc5QB8T

Un circuit ZK c’est une serrure mathématique, mais pas une serrure ordinaire. Une serrure ordinaire prouve que tu as la clé. Elle ne prouve rien d’autre. La serrure ZK est différente. Elle peut prouver n’importe quelle propriété sur tes données, sans jamais les révéler. Que tu as l’âge requis sans dire ton âge. Que tu as les fonds suffisants sans dire combien. Que tu as exécuté un calcul correctement sans montrer les inputs. C’est ça le concept fondamental : vérifier une propriété sans exposer les données qui la prouvent. Le circuit arithmétique est la définition précise de cette propriété. La preuve ZK atteste que tes données la satisfont, sans les révéler. Mais cette définition est coulée dans le métal au moment où tu écris le circuit. Changer ce que “valide” signifie, corriger un bug, ajouter une propriété : tu refonds la serrure entière. Toutes les anciennes preuves deviennent incompatibles. Ce n’est pas un défaut. C’est un choix fondamental by design. La rigidité du circuit est précisément ce qui rend la preuve incontestable. Zcash vient de le vivre cette semaine. Un bug découvert dans le circuit du pool Orchard : les contraintes arithmétiques permettaient des transitions d’état invalides. En clair, la serrure acceptait des clés qui n’auraient pas dû fonctionner. Pas une erreur de code corrigeable par patch. Une erreur dans la définition même de ce qui est valide. Résultat : hard fork d’urgence, nouvelle serrure, deuxième upgrade de sécurité en dix ans d’existence du protocole. Et c’est là que ça devient une course. Les outils IA vont progressivement automatiser l’écriture, l’audit et la correction des circuits. Trouver les bugs avant qu’ils arrivent en production. Générer de nouveaux circuits à partir de specs fonctionnelles. Optimiser les contraintes arithmétiques automatiquement. Comme avec les téléphones : le hardware est contraint par la physique, le software rattrape en permanence. Ici le circuit est contraint par les mathématiques, l’IA rattrape en permanence. La question n’est plus si les ZK proofs vont scaler dans des systèmes complexes. C’est à quelle vitesse l’outillage IA va absorber la rigidité by design.