Zcash slutförde denna vecka en tvåfasig akut nätverksuppgradering för att åtgärda en kritisk sårbarhet i sin Orchard-skyddade pool – ett 'soundness'-fel i zero-knowledge proof-kretsen som i teorin kunde ha låtit en angripare skapa obegränsad mängd oupptäckbar ZEC. Buggen upptäcktes den 29 maj av säkerhetsforskaren Taylor Hornby under en protokollrevision beställd av Shielded Labs, med hjälp av Anthropics Claude Opus 4.8 AI-modell. Fixen kom snabbt: en soft fork den 2 juni, sedan en hard fork dagen därpå.
Hur felet hittades
Hornbys revision avslöjade en sårbarhet som funnits i Orchard sedan dess aktivering i maj 2022 – för fyra år sedan. En fungerande proof-of-concept visade att obegränsad mängd förfalskad ZEC kunde skapas i en lokal testmiljö. Men felet påverkade aldrig den verkliga ZEC-tillgången på det aktiva nätverket, enligt Zcashs interna turnstile-redovisningsmekanism. Ändå, på grund av de integritetsskyddande egenskaperna hos skyddade transaktioner, finns det inget definitivt kryptografiskt sätt att bevisa att ingen exploatering någonsin inträffat. Projektets respons var aggressiv: Zebra 4.5.3 (soft fork) inaktiverade Orchard-transaktioner den 2 juni, och Zebra 5.0.0 (hard fork NU6.2) patchade felet och återaktiverade dem redan nästa dag.
Marknadens berg-och-dalbana
Marknaden jublade först över hard forken. ZEC steg till 624 dollar den 4 juni – veckans högsta nivå. Sedan blev det otrevligt. Arthur Hayes avslöjade att han sålt hela sin ZEC-position intraday den 4 juni, och priset rasade med cirka 50 % till 309 dollar den 5 juni, vilket utplånade över 3 miljarder dollar i marknadsvärde. ZEC har sedan återhämtat sig något och handlas runt 430 dollar efter att Electric Coin Companys vd Josh Swihart den 7 juni bekräftade att fixen var klar och nätverket säkert.
Buggen var en stor sak eftersom den träffade Zcashs kärnlöfte: att skyddade transaktioner är privata och sunda. Om en angripare tyst kunde trycka ZEC, förgiftas hela integritetsnarrativet. Hastigheten i responsen – två forks på två dagar – antyder att teamet visste hur allvarligt det kunde vara. Swiharts uttalande den 7 juni syftade till att försäkra användare att nätverket nu är säkert, men osäkerheten kring huruvida någon någonsin utnyttjade felet kvarstår som en gnagande fråga. Zcashs egna försvar fångade ingen obehörig värdeskapande, men integritet innebär att man inte kan se allt.
Vad händer härnäst? Patchen är live, uppgraderingarna är klara. Men håll utkik efter ytterligare avslöjanden från Shielded Labs om revisionsfynden, och håll ett öga på ZECs pris när handlare smälter om förtroendet verkligen är tillbaka. Sårbarheten fanns i fyra år. Fixen tog en vecka.
