Zcash heeft deze week een tweefasige noodnetwerkupgrade voltooid om een kritieke kwetsbaarheid in zijn Orchard shielded pool te verhelpen — een 'soundness'-fout in het zero-knowledge proof circuit die in theorie een aanvaller in staat had kunnen stellen om onbeperkte, niet-detecteerbare ZEC te creëren. De fout werd op 29 mei ontdekt door beveiligingsonderzoeker Taylor Hornby tijdens een protocolaudit in opdracht van Shielded Labs, waarbij gebruik werd gemaakt van Anthropic's Claude Opus 4.8 AI-model. De oplossing kwam snel: een soft fork op 2 juni, gevolgd door een hard fork de volgende dag.
Hoe de fout werd gevonden
Hornby's audit bracht een kwetsbaarheid aan het licht die sinds de activering van Orchard in mei 2022 — vier jaar geleden — op de loer had gelegen. Een werkend proof-of-concept toonde aan dat in een lokale testomgeving onbeperkte valse ZEC kon worden aangemaakt. Maar volgens het interne turnstile-accountingmechanisme van Zcash heeft de fout nooit de echte ZEC-voorraad op het live netwerk opgeblazen. Toch is er vanwege de privacy-eigenschappen van shielded-transacties geen definitieve cryptografische manier om te bewijzen dat er nooit misbruik is gemaakt. De reactie van het project was krachtig: Zebra 24.5.3 (soft fork) schakelde Orchard-transacties uit op 2 juni, en Zebra 25.0.0 (hard fork NU6.2) verholpen de fout en schakelde ze de volgende dag weer in.
Marktwhiplash
De markt reageerde aanvankelijk positief op de hard fork. ZEC steeg naar $624 op 4 juni — de hoogste stand van de week. Daarna werd het lelijk. Arthur Hayes maakte bekend dat hij op 4 juni zijn volledige ZEC-positie had verlaten, en de prijs kelderde met ongeveer 50% naar $309 op 5 juni, waarmee meer dan $3 miljard aan marktkapitalisatie verdween. ZEC heeft zich sindsdien enigszins hersteld en handelt rond $430 nadat Electric Coin Company CEO Josh Swihart op 7 juni bevestigde dat de reparatie voltooid was en het netwerk veilig is.
De bug was een groot probleem omdat hij de kernbelofte van Zcash aantastte: dat shielded-transacties privé en deugdelijk zijn. Als een aanvaller stilletjes ZEC kon bijmaken, wordt het hele privacyverhaal vergiftigd. De snelheid van de reactie — twee forks in twee dagen — suggereert dat het team wist hoe ernstig het kon zijn. Swihart's verklaring op 7 juni was bedoeld om gebruikers gerust te stellen dat het netwerk nu veilig is, maar de onzekerheid over of iemand ooit de fout heeft misbruikt, blijft een knagende vraag. Zcash's eigen verdedigingsmechanismen hebben geen ongeautoriseerde waardecreatie gedetecteerd, maar privacy betekent dat je niet alles kunt zien.
Wat staat er te gebeuren? De patch is live, de upgrades zijn voltooid. Maar let op eventuele verdere onthullingen van Shielded Labs over de auditbevindingen, en houd de prijs van ZEC in de gaten terwijl handelaren verwerken of het vertrouwen echt is teruggekeerd. De kwetsbaarheid was vier jaar aanwezig. De reparatie duurde een week.
