Zcash gennemførte denne uge en to-faset nødopgradering for at rette en kritisk sårbarhed i sin Orchard shielded pool — en 'soliditetsfejl' i nulvidensbevis-kredsløbet, som i teorien kunne have ladet en angriber skabe ubegrænset uopdagelig ZEC. Fejlen blev opdaget den 29. maj af sikkerhedsforsker Taylor Hornby under en protokolrevision bestilt af Shielded Labs, ved hjælp af Anthropics Claude Opus 4.8 AI-model. Rettelsen kom hurtigt: en soft fork den 2. juni, derefter en hard fork dagen efter.
Sådan blev fejlen fundet
Hornbys revision afslørede en sårbarhed, der havde ligget i Orchard siden dets aktivering i maj 2022 — for fire år siden. Et fungerende proof-of-concept viste, at ubegrænset falsk ZEC kunne præges i et lokalt testmiljø. Men fejlen har aldrig pustet den reelle ZEC-forsyning op på det levende netværk, ifølge Zcashs interne turnstile-regnskabsmekanisme. Alligevel er der på grund af shielded-transaktionernes privatlivsegenskaber ingen endelig kryptografisk måde at bevise, at der aldrig er sket udnyttelse. Projektets reaktion var aggressiv: Zebra 4.5.3 (soft fork) deaktiverede Orchard-transaktioner den 2. juni, og Zebra 5.0.0 (hard fork NU6.2) rettede fejlen og genaktiverede dem allerede dagen efter.
Markedsudsving
Markedet jublede først over hard forken. ZEC sprang til $624 den 4. juni — ugens højdepunkt. Så blev det grimt. Arthur Hayes afslørede, at han havde forladt hele sin ZEC-position intraday den 4. juni, og prisen styrtdykkede omkring 50% til $309 den 5. juni, hvilket udslettede over $3 milliarder i markedsværdi. ZEC er siden kommet sig en smule og handles omkring $430, efter at Electric Coin Companys CEO Josh Swihart den 7. juni bekræftede, at rettelsen var fuldført, og netværket var sikkert.
Fejlen var en stor sag, fordi den ramte Zcashs kerne-løfte: at shielded-transaktioner er private og solide. Hvis en angriber stille og roligt kunne printe ZEC, bliver hele privatlivsfortællingen forgiftet. Hastigheden af reaktionen — to forks på to dage — antyder, at teamet vidste, hvor slemt det kunne være. Swiharts udtalelse den 7. juni havde til formål at forsikre brugerne om, at netværket nu er sikkert, men usikkerheden om, hvorvidt nogen nogensinde udnyttede fejlen, forbliver et nagende spørgsmål. Zcashs egne forsvar fangede ingen uautoriseret værdioprettelse, men privatliv betyder, at man ikke kan se alt.
Hvad kommer der nu? Rettelsen er live, opgraderingerne er gennemført. Men hold øje med eventuelle yderligere afsløringer fra Shielded Labs om revisionsresultaterne, og følg ZECs pris, når handlende fordøjer, om tilliden virkelig er tilbage. Sårbarheden var til stede i fire år. Rettelsen tog en uge.
