- Zcash a révélé un bug critique dans le pool Orchard qui aurait pu permettre la création illimitée de ZEC.
- Les chercheurs ont identifié et corrigé la faille dans les jours suivants, et une nouvelle mise à jour a été proposée.
- Arthur Hayes a quitté l'intégralité de sa position ZEC après la divulgation, alors que le token a chuté de 33 %.
Un problème de sécurité majeur dans le pool masqué Orchard de Zcash a déclenché une réponse à l'échelle du réseau après que les développeurs aient confirmé que ce bogue aurait pu permettre la création illimitée de ZEC contrefaits au sein du pool de confidentialité.
Selon le fondateur de Zcash Zooko Wilcox-O’Hearn, la vulnérabilité a été découverte le 29 mai par le chercheur en sécurité Taylor Hornby et corrigée via une mise à jour d’urgence terminée le 2 juin.
La faille était présente depuis le lancement d'Orchard en mai 2022. Hornby a démontré une exploitation fonctionnelle dans un environnement de test local qui générait des ZEC contrefaits en quantité illimitée tout en restant invisible aux méthodes de détection normales.
Les développeurs ont déclaré que la même exploitation aurait pu produire des pièces contrefaites en quantité illimitée sur le réseau en direct si elle avait été déployée avant le correctif.
Le problème provient d'une faiblesse au sein du circuit cryptographique d'Orchard. En termes simples, le système pouvait être trompé pour accepter des données de transaction fausses comme valides, permettant la création de nouvelles pièces au sein du pool protégé.
Privacy a créé un problème d'audit
La principale préoccupation n'était pas seulement le bogue en lui-même. Étant donné qu'Orchard est conçu pour masquer les soldes et les détails des transactions, les développeurs ne peuvent pas utiliser des preuves cryptographiques pour déterminer si quelqu'un a exploité la vulnérabilité avant qu'elle ne soit corrigée.
Shielded Labs a déclaré qu'il n'existe actuellement aucun moyen définitif de prouver, à partir uniquement des données de la blockchain, qu'aucun ZEC contrefait n'a été créé pendant la période de quatre ans où la faille a existé. Dans le même temps, l'organisation a ajouté qu'elle estime peu probable qu'une exploitation antérieure ait eu lieu.
La vulnérabilité a échappé à des années d'analyse par des cryptographes et des auditeurs. Shielded Labs a déclaré que la découverte de Hornby a été effectuée dans le cadre d'un programme de sécurité dédié lancé spécifiquement pour identifier des failles cachées avant qu'elles ne soient exploitées par des attaquants.
Mise à jour d'urgence déployée
Après réception de la divulgation, les ingénieurs du Zcash Open Development Lab ont coordonné une réponse privée avec les mineurs et les plateformes d'échange. Un fork doux d'urgence a désactivé les transactions Orchard le 2 juin au bloc 3 363 426.
Un deuxième mise à jour, appelée NU6.2, a rétabli la fonctionnalité Orchard le 3 juin à bloc 3 364 600 en utilisant un circuit corrigé. Pendant la fenêtre de mise à jour, les transferts Orchard ont été suspendus, tandis que les transactions transparentes et les transactions Sapling ont continué de fonctionner.
Dans le même temps, l'incapacité à prouver que des pièces contrefaites n'ont jamais existé dans Orchard reste la question centrale. Orchard détient actuellement plus de 4 millions de ZEC et représente la majorité des pièces stockées dans les pools privés de Zcash.
Nouvelle proposition vise à prouver l'intégrité de l'offre
Shielded Labs souhaite désormais introduire une autre mise à niveau du réseau conçue pour éliminer l'incertitude entourant la fourniture Orchard.
La proposition créerait un nouveau pool protégé et exigerait que toutes les pièces quittant Orchard passent par la comptabilité du tourniquet. L'objectif est de permettre à quiconque de vérifier indépendamment qu'aucun ZEC contrefait n'existe.
Les développeurs prévoient de publier la proposition complète dans les prochains jours.
Le marché réagit à la sortie de Hayes de sa position
ZEC erased ses gains hebdomadaires et a chuté d'environ 33 % en 24 heures, tout en enregistrant une baisse sur sept jours d'environ 25 %. Arthur Hayes, cofondateur de BitMEX, a déclaré avoir liquidé l'ensemble de sa position ZEC après avoir examiné la vulnérabilité.
Hayes a déclaré que, bien qu'il pense que le mintage non autorisé était probablement peu probable, il ne pouvait pas le prouver cryptographiquement qu'il n'était jamais arrivé. Pour lui, cette incertitude entrait en conflit avec la raison fondamentale d'investir dans les actifs de confidentialité.
Hayes a déclaré qu'il reste ouvert à un rachat de ZEC si des preuves futures renforcent la confiance dans l'intégrité de l'offre du réseau.
Connexe : Zcash (ZEC) Price Prediction 2026-2050: Will Zcash Hit $1,000 Soon?
Avertissement : Les informations présentées dans cet article sont uniquement à des fins informatives et éducatives. Cet article ne constitue pas un conseil financier ou tout autre type de conseil. Coin Edition n'est pas responsable des pertes subies suite à l'utilisation du contenu, des produits ou des services mentionnés. Les lecteurs sont invités à faire preuve de prudence avant de prendre toute action liée à l'entreprise.