L'équipe de développement de Zcash a révélé qu'un grave vulnérabilité existait dans le pool Orchard du réseau, permettant théoriquement à un attaquant de falsifier un nombre infini de ZEC sans être détecté. Le problème a été corrigé d'urgence plus tôt cette semaine, mais l'équipe a indiqué qu'il est impossible, uniquement par des méthodes cryptographiques, de déterminer si la vulnérabilité a été exploitée sur la chaîne principale avant sa réparation.
La vulnérabilité existe depuis 2022.
Shielded Labs, chargé de la divulgation, a déclaré le 5 juin que ce problème existait depuis l'activation d'Orchard en mai 2022 et n'a été corrigé qu'le 2 juin. Les mises à niveau coordonnées du réseau observées précédemment étaient directement liées à ce correctif de vulnérabilité.
Le chercheur en sécurité Taylor Hornby a découvert ce problème le 29 mai lors d'un audit de sécurité mandaté et a réussi à créer une exploitation fonctionnelle dans un environnement de test local. La divulgation indique que la vulnérabilité provient d'une insuffisance de contraintes dans le circuit Orchard, permettant à des entrées erronées de passer la vérification de la multiplication sur courbe elliptique et de générer des ZEC falsifiés.
Le mécanisme de confidentialité augmente la difficulté de vérification
Les développeurs indiquent qu'aucune preuve ne montre pour l'instant que cette vulnérabilité a été exploitée avant sa correction. Toutefois, les transactions Orchard utilisent un mécanisme de protection de la vie privée, empêchant les observateurs externes de vérifier chaque transaction comme sur un registre public ; il n'existe donc aucune méthode claire pour prouver que des jetons falsifiés n'ont jamais pénétré dans la circulation.
Cela signifie que, bien que le problème ait été corrigé, l'intégrité de l'offre de Zcash laisse encore des zones d'incertitude. Shielded Labs a indiqué que l'équipe jugeait la possibilité d'exploitation historique faible, en partie parce que cette vulnérabilité n'avait pas été détectée par des chercheurs en cryptographie expérimentés pendant une longue période ; après la confirmation interne du problème, la fenêtre d'exploitation s'est rapidement réduite.
L'équipe évalue les mises à jour futures du réseau
Cette divulgation mentionne également que les chercheurs ont utilisé le modèle Opus 4.8 d'Anthropic ainsi qu'une méthode d'audit assisté par l'IA personnalisée. Shielded Labs indique que la vulnérabilité a été découverte peu après la sortie du nouveau modèle.
L'équipe évalue actuellement la possibilité de lancer une mise à niveau ultérieure du réseau afin de vérifier plus en détail l'intégrité de l'offre de Zcash et d'éliminer les doutes concernant la contrefaçon de ZEC. La solution initiale prévoit l'activation d'un nouveau pool masqué et la mise en œuvre d'une vérification « turnstile accounting » pour les jetons sortants d'Orchard. Plus de détails seront publiés la semaine prochaine.
- Date de découverte : 29 mai 2026
- Réparation d'urgence terminée : 2 juin 2026
- Date de divulgation publique : 5 juin 2026