Zcash a prolongé sa récente liquidation au-delà de 50 % vendredi pour atteindre environ 310 $, alors qu'une vulnérabilité critique de contrefaçon révélée plus tôt cette semaine continuait de peser sur le sentiment.
Le ZEC a chuté jusqu'à 60 % à un moment donné, passant d'environ 630 $ jeudi à environ 250 $ vendredi, avant de récupérer une partie de ses pertes, tandis que les liquidations ont dépassé 116 millions de dollars — le troisième plus grand montant parmi les cryptomonnaies au cours des dernières 24 heures, derrière le bitcoin et l'ether — selon CoinGlass.
Notamment, le chiffre de CoinGlass ne reflète qu'une image partielle. Les données de liquidation sont échelonnées et connues pour être sous-déclarées, ce qui signifie que les volumes réels de clôtures forcées sont probablement plus élevés.
Les données de liquidation de Zcash montrent près de 72 millions de dollars de liquidations longues et plus de 45 millions de dollars de liquidations courtes sur une période de 24 heures, avec un volume de pointe entre 8h et 9h UTC le 5 juin. CoinGlass a évalué l'intensité de liquidation de la session à 3,72 fois la moyenne sur sept jours.
La révélation a été faite par Zooko Wilcox, co-fondateur de Zcash et responsable de Shielded Labs, aux côtés des chercheurs Jason McGee et Taylor Hornby, qui ont confirmé que la faille existait dans le circuit de preuve à divulgation nulle de connaissance (zero-knowledge proof circuit) Orchard de Zcash depuis son activation en mai 2022. The Block avait précédemment rendu compte de la découverte initiale et de la baisse des prix.
La vulnérabilité, enracinée dans un élément sous-contraint du gadget de multiplication scalaire à base variable du circuit Orchard, aurait permis à un acteur malveillant de dépenser la même note protégée plusieurs fois en révélant un nullificateur unique à chaque dépense — créant ainsi une quantité illimitée et indétectable de ZEC contrefaits au sein du pool Orchard.
Hornby a découvert le bug le 29 mai, quelques heures après qu'Anthropic ait publié son modèle Claude Opus 4.8.
En utilisant un cadre d'audit assisté par l'IA personnalisé qu'il a nommé zcash-full-stack-auditor, Hornby a effectué un examen ciblé du circuit Orchard.
Un agent d'audit a signalé la faille critique vers 18h MDT. À 23h53, Hornby avait livré une preuve de concept et un rapport complet au Zcash Open Development Lab via Signal. Le lundi soir suivant, une atténuation par soft fork était en ligne sur le mainnet. Une mise à niveau complète du réseau, NU6.2, a réactivé Orchard au bloc 3 364 600 le 2 juin avec le circuit corrigé.
La période d'exposition s'est étendue de l'activation d'Orchard le 31 mai 2022 jusqu'au soft fork le 1er juin 2026 — soit quatre ans, un jour et dix heures. Du moment où Opus 4.8 a été rendu public à l'activation du correctif, la fenêtre était de quatre jours et environ dix heures.
Ce qui rend la divulgation particulièrement incisive, c'est ce que le correctif ne peut pas résoudre.
L'architecture de confidentialité de Zcash rend cryptographiquement impossible de vérifier si l'exploit a été utilisé avant la remédiation. Wilcox et ses co-auteurs ont été directs à ce sujet.
« Il n'y a aucun moyen de prouver cryptographiquement si la vulnérabilité a été exploitée avant qu'elle ne soit corrigée », indique la divulgation. « Nous pensons qu'il est important d'être transparent sur cette incertitude. »
Cette incertitude a peut-être conduit à la clôture de la position d'Arthur Hayes. Le co-fondateur de BitMEX et CIO de Maelstrom a publié cette semaine qu'il avait vendu la totalité de ses ZEC et ceux de Maelstrom.
« La Sainte Trinité est morte », a écrit Hayes. « Bien que je pense qu'il est extrêmement improbable qu'il y ait eu une quelconque frappe (minting), il ne peut être prouvé formellement cryptographiquement que c'est impossible. Le récit de la confidentialité face à l'IA, au gouvernement et aux géants de la technologie exige la perfection, pas l'improbabilité. » Hayes a déclaré qu'il restait ouvert à une réentrée si ses hypothèses changeaient.
Shielded Labs et plusieurs de ses principaux soutiens ont contesté la lecture la plus pessimiste de la divulgation.
Craig Salm, CLO de Grayscale, a soutenu que pour croire que l'exploit a réellement été déclenché, il aurait fallu que quelqu'un examine le codebase de Zcash plus minutieusement que tous les développeurs d'ECC, ZODL, Shielded Labs et de la Zcash Foundation réunis — et qu'il ait ensuite choisi de ne pas vider le turnstile du pool Orchard pendant une période haussière de plus de 20x. « Cela me semble peu probable », a déclaré Salm sur X.
Cameron Winklevoss, co-fondateur de l'échange de crypto Gemini, a fait un argument similaire. « Quand il s'agit de n'importe quel L1, il y aura des bugs », a déclaré Winklevoss. « Ce qui est important, c'est qu'il y ait des chercheurs de classe mondiale qui se concentrent sur le renforcement du réseau et sur le fait de garder une longueur d'avance sur les acteurs malveillants. » Il a qualifié la découverte et la remédiation rapides de « vote de confiance, et non de motif d'alarme ».
Taylor Monahan, chercheuse en sécurité chez MetaMask, a replacé la divulgation dans un contexte plus large. « La conclusion devrait être que ces modèles PEUVENT ET VONT découvrir les pires vulnérabilités qui ont existé en production sans être détectées pendant des années », a déclaré Monahan, affirmant que la relation de Zcash avec les chercheurs en sécurité avait longtemps été un facteur de différenciation.
Le journal de travail de Hornby — publié publiquement avec la divulgation — indique qu'Opus 4.8 était particulièrement sceptique quant à sa propre découverte, supposant initialement que le code en amont avait déjà été audité et devait donc être correct. Il a fallu insister avant qu'il ne prenne le problème au sérieux.
Des audits antérieurs utilisant Claude Opus 4.7, malgré de grands efforts, n'avaient pas réussi à détecter le bug lorsqu'un prompt générique était donné. En revanche, Opus 4.8 l'a trouvé dans seulement un des quatre essais lorsqu'il était interrogé de manière générale, alors qu'il était trouvé de manière fiable lorsque le prompt était ciblé précisément sur le gadget spécifique.
Shielded Labs a déclaré qu'il explorait une mise à niveau du réseau qui déploierait un nouveau pool protégé et imposerait une comptabilité de type « turnstile » pour toutes les pièces migrant d'Orchard — un mécanisme qui permet à quiconque de vérifier l'intégrité de l'approvisionnement en Zcash et de prouver l'absence de ZEC contrefaits.
La proposition nécessiterait l'approbation de la gouvernance communautaire. Un article de suivi avec tous les détails techniques est attendu la semaine prochaine. L'entreprise initie également formellement un projet de vérification mathématique du circuit Orchard et a ouvert des recherches pour un responsable de la sécurité et un cryptographe.
Josh Swihart, fondateur de ZODL, a déclaré que la question la plus importante n'est pas de savoir si un deuxième pool Orchard sera construit, mais comment le protocole garantit que les vulnérabilités ne se reproduiront jamais. Sa réponse est la vérification formelle.
« Une règle lâche peut être difficile à repérer », a écrit Swihart dans un post X détaillé. « Dans ce cas récent, la règle lâche est passée inaperçue malgré de nombreux audits et examens de sécurité de niveau expert. » La vérification formelle, a-t-il soutenu, remplace l'examen humain par une preuve mathématique qui vérifie l'ensemble du circuit par rapport à une spécification concise et lisible — une spécification qu'un ordinateur ne peut pas tromper.
Swihart a déclaré qu'un deuxième pool Orchard pourrait, en principe, être ciblé pour le NU7 fin juillet, et qu'un circuit Orchard formellement vérifié, s'il est achevé, pourrait servir de meilleure étape intermédiaire avant Tachyon — le système de preuve de nouvelle génération de Zcash, qui est construit avec une vérification formelle dès le départ.
Clause de non-responsabilité : The Block est un média indépendant qui fournit des actualités, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés de l'espace crypto. L'échange de crypto Bitget est un commanditaire de premier plan pour Foresight Ventures. The Block continue d'opérer de manière indépendante pour fournir des informations objectives, pertinentes et opportunes sur l'industrie de la crypto. Voici nos divulgations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
