Un défaut vieux de quatre ans révélé dans Zcash, p...

Le zcash ($ZEC), axé sur la confidentialité, a été battu au cours des dernières 24 heures, chutant d'environ 30 % à 400 $ dans un contexte de faiblesse plus large du marché. La vente s'est accélérée après que Shielded Labs, un développeur à but non lucratif de Zcash, a révélé une vulnérabilité critique dans le pool de confidentialité Orchard de la blockchain qui aurait pu menacer l'intégrité de l'approvisionnement en jetons.

Jeudi soir, Shielded Labs a publié une divulgation détaillée sur X, révélant une vulnérabilité qui, si elle était exploitée, aurait pu permettre à un attaquant de créer un nombre illimité de jetons $ZEC contrefaits, sans aucune détection. Considérez-le comme quelqu'un ayant secrètement accès à la planche à billets de la Réserve fédérale, sauf que dans ce cas, même la Fed ne serait pas en mesure de dire que ces dollars supplémentaires ont été imprimés.

La vulnérabilité a été découverte le 29 mai par Taylor Hornby, un ingénieur en sécurité engagé par Shielded Labs en avril 2026 spécifiquement pour identifier les vulnérabilités du protocole avant que les acteurs malveillants ne le puissent. En travaillant avec le modèle d'IA Opus 4.8 récemment publié par Anthropic, Hornby a mené un examen très ciblé du circuit Orchard, qui est le système cryptographique qui sous-tend le pool de confidentialité le plus avancé de Zcash.

Shielded Labs a déclaré que Hornby avait écrit un exploit complet qui, lorsqu'il était testé dans un environnement de test local, générait une contrefaçon illimitée et indétectable de $ZEC. Shielded Labs a ajouté que si le même outil avait été exécuté sur le réseau principal Zcash, il aurait généré des jetons contrefaits illimités et indétectables dans son portefeuille du réseau principal.

Imaginez un attaquant imprimant discrètement un nombre illimité de $ZEC contrefaits et les conservant sans être détectés. Les dommages causés à la confiance dans l’offre et, par extension, à la valeur marchande du jeton auraient pu être graves.

Hornby a immédiatement divulgué la vulnérabilité au Zcash Open Development Lab (ZODL), qui a coordonné un correctif d'urgence le 1er juin, le fermant quelques jours après sa découverte.

Bug non détecté depuis quatre ans

Pourtant, ce qui semble être une approche proactive pour corriger les bugs n’a pas impressionné les marchés. C'est peut-être parce que, comme Shielded Labs l'a lui-même admis, le bug était présent depuis l'activation d'Orchard en mai 2022. En d'autres termes, il existait, non détecté, depuis quatre ans.

Ce qui rend la situation encore plus complexe pour les marchés est le fait que Shielded Labs reconnaît qu'il ne peut pas dire avec certitude si le bug a été exploité avant le correctif.

"Ce qui rend cela particulièrement difficile, c'est qu'en raison des propriétés de confidentialité d'Orchard et de la nature du bug, il n'existe aucun moyen définitif de déterminer, en utilisant uniquement la cryptographie, si une telle exploitation a eu lieu avant que la vulnérabilité ne soit découverte et corrigée. Nous pensons qu'il est important d'être transparents sur cette incertitude", a déclaré la société.

Il souligne néanmoins que l'exploitation n'a probablement pas eu lieu pour plusieurs raisons. Premièrement, le bug avait échappé à des années d’examen minutieux par des cryptographes expérimentés. Il n’a été découvert qu’avec l’aide d’outils d’IA de pointe et de chercheurs hautement qualifiés travaillant délibérément pour le trouver. Et une fois découvert, le problème a été rapidement corrigé, laissant peu de temps à quiconque pour l’exploiter.

"Nous pensons qu'il a probablement réussi", a déclaré Shilded Labs à propos des efforts de Hornby pour trouver la vulnérabilité avant que des acteurs malveillants ne le puissent.

Cependant, l'organisation a pris soin d'ajouter que les utilisateurs ne devraient pas se fier uniquement à leur évaluation et a proposé une mise à niveau du réseau qui permettrait à quiconque de vérifier de manière indépendante l'intégrité de l'approvisionnement de la ZEC $. La proposition implique le déploiement d'un nouveau pool blindé et l'application d'une comptabilité tourniquet sur toutes les pièces du pool Orchard. La société a déclaré qu'elle pourrait publier un article détaillé à ce sujet la semaine prochaine.

Il a également déclaré qu'il accélérait les efforts de sécurité, y compris la poursuite du travail avec Hornby, un projet de vérification formelle visant à rédiger une preuve mathématique qu'il n'y a pas de bogues non découverts dans le circuit Orchard, et de nouvelles embauches pour un responsable de la sécurité et un cryptographe.