Zcash a plonjat cu două cifre peste noapte după ce dezvoltatorii au dezvăluit o vulnerabilitate critică în pool-ul protejat Orchard al protocolului, care ar fi putut permite contrafacerea nedetectabilă timp de peste patru ani.
Moneda de confidențialitate a scăzut de la un maxim local de 635 USD miercuri la un minim intraday de 309 USD joi, conform datelor CoinGecko. De atunci, și-a revenit ușor la aproximativ 330 USD, înregistrând o scădere de 37,8% în acea zi.
https://t.co/v7BiOdzU9E
— zooko🛡🦓🦓🦓 ⓩ (@zooko) June 4, 2026
Vulnerabilitatea a fost descoperită pe 29 mai de cercetătorul în securitate Taylor Hornby, folosind instrumente de audit asistate de AI.
Aceasta a rezidat în două linii de cod din circuitul Orchard, componenta criptografică care guvernează tranzacțiile protejate ale Zcash, și a permis unui actor malițios să creeze ZEC contrafăcut în interiorul pool-ului protejat, fără nicio semnătură on-chain. Dacă bug-ul ar fi fost exploatat înainte de descoperire, nu ar fi existat nicio modalitate de a dovedi acest lucru.
„Vulnerabilitatea a fost prezentă de la activarea Orchard în mai 2022 până la implementarea remedierii de urgență pe 1 iunie 2026”, a scris Shielded Labs, organizația din spatele dezvoltării Zcash, într-o postare de dezvăluire. „Datorită proprietăților de confidențialitate ale Orchard și a naturii bug-ului, nu există nicio modalitate definitivă de a determina, folosind doar criptografia, dacă o astfel de exploatare a avut loc.”
Incidentul a reaprins dezbaterea asupra unei probleme structurale despre care criticii spun că depășește bug-ul specific. Spre deosebire de Bitcoin sau Ethereum, unde exploatarea on-chain este imediat vizibilă, monedele de confidențialitate precum Zcash creează condiții în care un atac reușit ar putea să nu fie niciodată detectat.
„Zcash permite o clasă unică de bug-uri, în cazul în care acestea ar fi exploatate, nimeni nu ar ști”, a scris pe Twitter comentatorul crypto Udi Wertheimer. „Această clasă unică încă există. Faptul că au remediat acest bug specific este irelevant.”
Verificările curbei eliptice sub-constânse, categoria de erori aflată în centrul acestei vulnerabilități, sunt printre cele mai comune puncte slabe în circuitele ZK de producție, potrivit lui Joe Andrews, CEO al Aztec Labs, un studio de produse axat pe confidențialitate. Modelul nu este nou pentru Zcash, a spus Andrews, adăugând că AI accelerează ritmul în care astfel de bug-uri sunt descoperite în întreaga industrie.
Soluția pe termen lung, a declarat Andrews pentru Decrypt, este verificarea formală a circuitelor combinată cu un al doilea sistem de dovezi, o abordare pe care Ethereum o planifică deja. „Ambele sisteme trebuie să fie de acord pentru ca o tranziție de stare să fie validă, ceea ce reduce drastic șansele ca bug-urile să fie exploatate”, a spus el.
Arthur Hayes, fostul CEO al BitMEX, a dezvăluit că și-a lichidat întreaga poziție Zcash în urma dezvăluirii.
Riscul imediat pentru deținători nu este inflația la nivelul întregului lanț, ci o potențială insolvență a pool-ului Orchard în sine, ceea ce înseamnă că deținătorii de ZEC protejat ar putea fi diluați dacă pretențiile contrafăcute ar concura cu cele legitime pentru un sold finit al pool-ului.
The Holy Trinity is dead. Sadly due to the Orchard Pool exploit, I had to dump our entire $ZEC bag.
- While I think it's extremely unlikely of any minting, it cannot be formally cryptographically proved impossible
- The privacy from AI, govt, big tech narrative demands perfection…— Arthur Hayes (@CryptoHayes) June 5, 2026
Nu toată lumea împărtășește această alarmă. Craig Salm, directorul juridic la Grayscale, a susținut că exploatarea înainte de patch era puțin probabilă. Pentru a crede că vulnerabilitatea a fost într-adevăr exploatată, a spus Salm, cineva ar fi trebuit să examineze baza de cod mai amănunțit decât toți dezvoltatorii principali la un loc, și apoi să fi rezistat tentației de a goli întregul pool în timpul unei piețe bull istorice. „Mi se pare puțin probabil”, a scris el pe Twitter.
Shielded Labs a propus o actualizare a rețelei care să implementeze un nou pool protejat cu contabilitate de tip turnichet, ceea ce ar permite oricui să verifice integritatea ofertei Zcash.
Andrews a spus că structura acelei actualizări, care necesită ca toate monedele să fie „descuiate” înainte de a intra în noul pool, limitează efectiv riscul oricărei exploatări anterioare la cantitatea actuală de active protejate. „Verificarea formală a noii actualizări reduce riscurile substanțial mai mult”, a spus el.
