L'écosystème Zcash a confirmé l'existence d'une vulnérabilité grave permettant de falsifier un nombre illimité de ZEC dans son pool de transactions privées, Orchard. Le correctif correspondant a été appliqué le 1er juin. Toutefois, en raison de la conception privée d'Orchard, il n'est pas possible de vérifier directement sur la chaîne si cette vulnérabilité a été exploitée entre mai 2022 et juin 2026. Après la divulgation de l'information, ZEC a chuté à environ 250 dollars, enregistrant une baisse maximale de 43 % en une journée.
La vulnérabilité permet de contourner la validation
Cette vulnérabilité a été découverte le 29 mai par le chercheur en sécurité Taylor Hornby. Hornby, mandaté par l'équipe Zcash, a rédigé, avec l'aide de Claude Opus 4.8 d'Anthropic, un code d'exploitation complet et fonctionnel.
Le problème réside dans une logique de validation des entrées de transaction d'Orchard. Bien qu'il semble que cette vérification s'assure que les entrées respectent les règles, elle ne réalise pas effectivement les contraintes nécessaires. Un attaquant pouvant créer des entrées falsifiées pourrait tout de même passer la vérification de la preuve à connaissance nulle, générant ainsi des ZEC de nulle part, et ces jetons contrefaits sont pratiquement indiscernables des jetons légitimes.
Réparation terminée
Hornby a indiqué qu'il n'avait effectué la vérification que dans un environnement local, puis avait immédiatement signalé le problème à la ZODL chargée de la coordination du développement de Zcash, sans effectuer d'attaque sur la chaîne principale. L'écosystème Zcash a déployé un correctif d'urgence le 1er juin pour empêcher toute exploitation continue de cette vulnérabilité.
Cependant, l'équipe a également reconnu que la vulnérabilité aurait pu être exploitée pendant environ 4 ans. La difficulté réside dans le fait qu'Orchard est lui-même un pool de confidentialité, conçu pour masquer les montants des transactions et les informations sur les participants, ce qui signifie qu'il est impossible de déterminer par des moyens cryptographiques si une émission cachée a eu lieu par le passé.
La communauté propose de procéder à une mise à niveau
Pour gérer les risques futurs, Shielded Labs propose de lancer une mise à niveau du réseau. Le plan inclut le déploiement de nouveaux pools de confidentialité et l'introduction d'un mécanisme de vérification « turnstile accounting » pour les jetons provenant d'Orchard.
Dans cette optique, les jetons Orchard existants doivent passer par un point de vérification vérifiable afin d'identifier toute offre contrefaite. Ce plan nécessite toujours l'approbation de la gouvernance communautaire et le respect du processus standard de mise à niveau du réseau Zcash. Une proposition plus détaillée devrait être publiée la semaine prochaine.
Les capacités d'audit IA attirent l'attention
En plus du plan de mise à niveau, Shielded Labs a indiqué qu'il lancera une vérification mathématique de l'ensemble du circuit Orchard et recrutera un responsable sécurité et des chercheurs en cryptographie. Cet événement a également suscité l'attention du marché sur les capacités de recherche en sécurité de l'IA.
Claude Opus 4.8 a été publié publiquement le 28 mai, et les chercheurs ont découvert cette vulnérabilité critique, existant depuis plusieurs années, environ 24 heures après le déploiement du modèle. Avec le déploiement continu de modèles plus puissants, le rythme des attaques et des défenses pour les protocoles cryptographiques pourrait s'accélérer davantage.