Zcash a achevé cette semaine une mise à jour réseau d'urgence en deux phases pour corriger une vulnérabilité critique dans son pool protégé Orchard — une faille de 'solidité' dans le circuit de preuve à divulgation nulle de connaissance qui, en théorie, aurait pu permettre à un attaquant de créer des ZEC indétectables en quantité illimitée. Le bogue a été découvert le 29 mai par le chercheur en sécurité Taylor Hornby lors d'un audit de protocole commandé par Shielded Labs, utilisant le modèle d'IA Claude Opus 4.8 d'Anthropic. Le correctif est arrivé rapidement : un soft fork le 2 juin, puis un hard fork le lendemain.
Comment la faille a été trouvée
L'audit de Hornby a mis au jour une vulnérabilité tapie dans Orchard depuis son activation en mai 2022 — il y a quatre ans. Une preuve de concept fonctionnelle a montré que des ZEC contrefaits en quantité illimitée pouvaient être frappés dans un environnement de test local. Mais la faille n'a jamais gonflé l'offre réelle de ZEC sur le réseau en production, selon le mécanisme de comptabilité turnstile interne de Zcash. Néanmoins, en raison des propriétés de confidentialité des transactions protégées, il n'existe aucun moyen cryptographique définitif de prouver qu'aucune exploitation n'a jamais eu lieu. La réponse du projet a été agressive : Zebra 4.5.3 (soft fork) a désactivé les transactions Orchard le 2 juin, et Zebra 5.0.0 (hard fork NU6.2) a corrigé la faille et les a réactivées dès le lendemain.
Volatilité du marché
Le marché a d'abord salué le hard fork. Le ZEC a bondi à 624 $ le 4 juin — son plus haut de la semaine. Puis les choses se sont gâtées. Arthur Hayes a révélé avoir quitté l'intégralité de sa position en ZEC en cours de séance le 4 juin, et le prix s'est effondré d'environ 50 % à 309 $ le 5 juin, effaçant plus de 3 milliards de dollars de capitalisation boursière. Le ZEC a depuis légèrement rebondi, s'échangeant autour de 430 $ après que le PDG d'Electric Coin Company, Josh Swihart, a confirmé le 7 juin que le correctif était complet et le réseau sécurisé.
Le bogue était important car il frappait au cœur de la promesse de Zcash : que les transactions protégées sont privées et solides. Si un attaquant pouvait imprimer silencieusement des ZEC, tout le récit de confidentialité serait empoisonné. La rapidité de la réponse — deux forks en deux jours — suggère que l'équipe savait à quel point cela pouvait être grave. La déclaration de Swihart le 7 juin visait à rassurer les utilisateurs sur la sécurité actuelle du réseau, mais l'incertitude quant à savoir si quelqu'un a jamais exploité la faille reste une question persistante. Les propres défenses de Zcash n'ont détecté aucune création de valeur non autorisée, mais la confidentialité signifie que l'on ne peut pas tout voir.
Quelle est la suite ? Le correctif est en place, les mises à niveau sont terminées. Mais surveillez toute divulgation supplémentaire de Shielded Labs concernant les résultats de l'audit, et gardez un œil sur le prix du ZEC alors que les traders digèrent si la confiance est vraiment de retour. La vulnérabilité était présente pendant quatre ans. Le correctif a pris une semaine.
