Le fondateur de Zcash prévient qu'un bug d'Orchard...

Table des matières Le fondateur de Zcash, Zooko Wilcox, a révélé une vulnérabilité critique dans le pool de confidentialité Orchard du protocole qui aurait pu permettre la création illimitée de ZEC contrefaits. Le chercheur en sécurité Taylor Hornby a découvert la faille le 29 mai 2026 et l'a immédiatement signalée au Zcash Open Development Lab. Une réponse d'urgence à l'échelle de l'écosystème a été achevée le 2 juin. Shielded Labs a confirmé que le bug était réel et pleinement exploitable. ZEC se négocie actuellement à 443,05 $, en baisse de 29,0 % au cours des dernières 24 heures. Wilcox, aux côtés de Jason McGee et Taylor Hornby, a publié un compte rendu détaillé de la vulnérabilité et de la réponse qu'elle a déclenchée. Selon la divulgation, la faille existait dans un élément sous-contraint du circuit Orchard. Cela a permis de fausses entrées dans la multiplication de courbes elliptiques tout en réussissant les contrôles de vérification du circuit. Hornby a construit un exploit complet et l'a testé dans un environnement local. Le test a confirmé que des ZEC contrefaites illimitées et indétectables pouvaient être générées sans déclencher d’alerte. Si le même outil avait fonctionné sur le réseau principal Zcash, un ZEC contrefait serait apparu directement dans un portefeuille actif. La vulnérabilité était présente depuis l’activation d’Orchard en mai 2022 jusqu’au 1er juin 2026, soit une fenêtre d’environ quatre ans. Wilcox a reconnu qu'en raison des propriétés de confidentialité d'Orchard, il n'existe aucune méthode cryptographique pour confirmer ou exclure une exploitation pendant cette période. L’équipe a déclaré : « Il n’existe aucun moyen définitif de déterminer en utilisant uniquement la cryptographie si une telle exploitation a eu lieu avant que la vulnérabilité ne soit découverte et corrigée. » Malgré cette incertitude, Wilcox a exprimé une confiance mesurée. Il a écrit : « Nous avons engagé Taylor pour détecter les vulnérabilités avant les attaquants, et c’est exactement ce qu’il a fait. » Il a cité la capacité du bug à échapper à des années d’examen minutieux de la part des principaux cryptographes comme preuve supplémentaire que sa découverte nécessitait des compétences et des outils exceptionnels. Wilcox a clairement indiqué que la confiance des utilisateurs ne devrait pas reposer uniquement sur l’évaluation de Shielded Labs. L’équipe a déclaré : « Nous ne pensons pas que les utilisateurs devraient se fier à notre évaluation, ou à celle de quelqu’un d’autre. » À cette fin, l’organisation étudie une mise à niveau du réseau conçue pour permettre à quiconque de vérifier de manière indépendante l’intégrité de l’approvisionnement total de Zcash. La mise à niveau proposée déploierait un nouveau pool blindé et appliquerait une comptabilité tourniquet sur toutes les pièces actuellement détenues dans le pool Orchard. Ce mécanisme permettrait à la communauté de prouver la non-existence de ZEC contrefaites au sein d'Orchard. Un article de suivi détaillé décrivant les mécanismes et les compromis de la proposition est attendu la semaine suivante. Toute mise à niveau du réseau nécessiterait un large soutien de la communauté et devrait passer par le processus de gouvernance standard de Zcash avant son activation. Wilcox a noté que Shielded Labs accélère déjà son travail de sécurité proactif, en utilisant des outils d'IA de pointe en partenariat avec Hornby et Anthropic. L’équipe a ajouté : « Nous redoublons d’efforts en matière de recherche proactive en matière de sécurité, notamment en utilisant des outils d’IA de pointe, pour détecter les problèmes avant que les méchants ne le fassent. » Des étapes supplémentaires comprennent un projet de vérification mathématique formelle ciblant le circuit Orchard et des recherches ouvertes pour un responsable de la sécurité et un cryptographe. Wilcox a crédité ZODL, la Fondation Zcash et l'écosystème dans son ensemble pour leur réponse rapide, déclarant que Zcash est « bien placé pour se rétablir ».