Zcash menyelesaikan peningkatan jaringan darurat dua fase minggu ini untuk memperbaiki kerentanan kritis di kolam terlindung Orchard — sebuah cacat 'soundness' dalam rangkaian bukti tanpa pengetahuan (zero-knowledge proof) yang secara teoretis dapat memungkinkan penyerang menciptakan ZEC tak terdeteksi dalam jumlah tak terbatas. Bug ini ditemukan pada 29 Mei oleh peneliti keamanan Taylor Hornby selama audit protokol yang ditugaskan oleh Shielded Labs, menggunakan model AI Claude Opus 4.8 dari Anthropic. Perbaikan dilakukan dengan cepat: soft fork pada 2 Juni, lalu hard fork pada hari berikutnya.
Bagaimana Cacat Ditemukan
Audit Hornby mengungkap kerentanan yang telah bersembunyi di Orchard sejak diaktifkan pada Mei 2022 — empat tahun lalu. Proof-of-concept yang berhasil menunjukkan bahwa ZEC palsu dalam jumlah tak terbatas dapat dicetak di lingkungan uji lokal. Namun, cacat tersebut tidak pernah menggembungkan pasokan ZEC nyata di jaringan langsung, menurut mekanisme akuntansi turnstile internal Zcash. Meski demikian, karena sifat privasi transaksi terlindung, tidak ada cara kriptografis yang definitif untuk membuktikan bahwa tidak pernah terjadi eksploitasi. Respons proyek ini agresif: Zebra 4.5.3 (soft fork) menonaktifkan transaksi Orchard pada 2 Juni, dan Zebra 5.0.0 (hard fork NU6.2) menambal cacat dan mengaktifkannya kembali pada hari berikutnya.
Kejutan Pasar
Pasar sempat menyambut baik hard fork tersebut. ZEC melonjak ke $624 pada 4 Juni — puncaknya minggu itu. Kemudian keadaan menjadi buruk. Arthur Hayes mengungkapkan bahwa ia telah keluar dari seluruh posisi ZEC-nya secara intraday pada 4 Juni, dan harga anjlok sekitar 50% menjadi $309 pada 5 Juni, menghapus lebih dari $3 miliar kapitalisasi pasar. ZEC sejak itu sedikit pulih, diperdagangkan sekitar $430 setelah CEO Electric Coin Company Josh Swihart mengonfirmasi pada 7 Juni bahwa perbaikan telah selesai dan jaringan aman.
Bug ini menjadi masalah besar karena menyerang janji inti Zcash: bahwa transaksi terlindung bersifat pribadi dan sound (aman). Jika penyerang dapat diam-diam mencetak ZEC, seluruh narasi privasi menjadi tercemar. Kecepatan respons — dua fork dalam dua hari — menunjukkan bahwa tim tahu betapa buruknya dampak yang mungkin terjadi. Pernyataan Swihart pada 7 Juni bertujuan meyakinkan pengguna bahwa jaringan kini aman, tetapi ketidakpastian tentang apakah ada yang pernah mengeksploitasi cacat tersebut tetap menjadi pertanyaan mengganggu. Pertahanan Zcash sendiri tidak mendeteksi adanya penciptaan nilai yang tidak sah, tetapi privasi berarti Anda tidak dapat melihat semuanya.
Apa selanjutnya? Patch sudah aktif, peningkatan sudah selesai. Namun, perhatikan pengungkapan lebih lanjut dari Shielded Labs tentang temuan audit, dan pantau harga ZEC saat para trader mencerna apakah kepercayaan benar-benar kembali. Kerentanan telah ada selama empat tahun. Perbaikan hanya butuh seminggu.
