Zcash ha completato un aggiornamento di rete d'emergenza in due fasi questa settimana per correggere una vulnerabilità critica nel suo pool schermato Orchard: un difetto di 'solidità' nel circuito di prova a conoscenza zero che, in teoria, avrebbe potuto permettere a un attaccante di creare ZEC contraffatti illimitati e non rilevabili. Il bug è stato scoperto il 29 maggio dal ricercatore di sicurezza Taylor Hornby durante un audit del protocollo commissionato da Shielded Labs, utilizzando il modello AI Claude Opus 4.8 di Anthropic. La correzione è arrivata rapidamente: un soft fork il 2 giugno, seguito da un hard fork il giorno successivo.
Come è stato scoperto il difetto
L'audit di Hornby ha rivelato una vulnerabilità presente in Orchard sin dalla sua attivazione nel maggio 2022 — quattro anni fa. Una prova di concetto funzionante ha dimostrato che ZEC contraffatti illimitati potevano essere coniati in un ambiente di test locale. Tuttavia, il difetto non ha mai gonfiato l'offerta reale di ZEC sulla rete live, secondo il meccanismo contabile turnstile interno di Zcash. Tuttavia, a causa delle proprietà di privacy delle transazioni schermate, non esiste un modo crittografico definitivo per dimostrare che non sia mai avvenuto alcuno sfruttamento. La risposta del progetto è stata aggressiva: Zebra 4.5.3 (soft fork) ha disabilitato le transazioni Orchard il 2 giugno, e Zebra 5.0.0 (hard fork NU6.2) ha corretto il difetto e le ha riabilitate il giorno successivo.
Oscillazioni di mercato
Il mercato ha inizialmente accolto positivamente l'hard fork. ZEC è salito a $624 il 4 giugno — il suo picco settimanale. Poi le cose sono peggiorate. Arthur Hayes ha rivelato di aver chiuso l'intera posizione in ZEC durante la giornata del 4 giugno, e il prezzo è crollato di circa il 50% a $309 il 5 giugno, cancellando oltre 3 miliardi di dollari di capitalizzazione di mercato. ZEC si è poi in parte ripreso, scambiando intorno a $430 dopo che il CEO di Electric Coin Company Josh Swihart ha confermato il 7 giugno che la correzione era completa e la rete sicura.
Il bug è stato un grosso problema perché ha colpito la promessa fondamentale di Zcash: che le transazioni schermate siano private e solide. Se un attaccante avesse potuto stampare ZEC in silenzio, l'intera narrativa della privacy sarebbe stata compromessa. La velocità della risposta — due fork in due giorni — suggerisce che il team sapeva quanto potesse essere grave. La dichiarazione di Swihart del 7 giugno mirava a rassicurare gli utenti che la rete è ora sicura, ma l'incertezza sul fatto che qualcuno abbia mai sfruttato il difetto rimane una domanda persistente. Le difese interne di Zcash non hanno rilevato alcuna creazione di valore non autorizzata, ma la privacy significa che non si può vedere tutto.
Cosa succede ora? La patch è attiva, gli aggiornamenti sono completati. Ma bisogna tenere d'occhio eventuali ulteriori rivelazioni di Shielded Labs sui risultati dell'audit, e monitorare il prezzo di ZEC mentre gli operatori assimilano se la fiducia sia davvero tornata. La vulnerabilità è stata presente per quattro anni. La correzione ha richiesto una settimana.
