Tim pengembang Zcash mengungkapkan bahwa kolom Orchard di jaringan pernah memiliki kerentanan serius yang secara teoretis memungkinkan penyerang memalsukan jumlah ZEC tak terbatas tanpa terdeteksi. Masalah terkait telah diperbaiki secara darurat awal pekan ini, tetapi tim menyatakan bahwa dengan metode kriptografi saja, tidak mungkin memastikan apakah kerentanan tersebut telah dimanfaatkan di jaringan utama sebelum diperbaiki.
Vulnerability telah ada sejak tahun 2022
Shielded Labs yang bertanggung jawab atas pengungkapan menyatakan pada 5 Juni bahwa masalah ini telah ada sejak Orchard diaktifkan pada Mei 2022, dan penanganan darurat baru selesai pada 2 Juni. Peningkatan jaringan terkoordinasi yang sebelumnya terlihat oleh publik secara langsung terkait dengan perbaikan kerentanan ini.
Peneliti keamanan Taylor Hornby menemukan masalah ini pada 29 Mei dalam tinjauan keamanan yang ditugaskan, dan berhasil membuat eksploitasi yang berfungsi di lingkungan pengujian lokal. Pengungkapan menyatakan bahwa kerentanan berasal dari keterbatasan kendala dalam sirkuit Orchard, yang memungkinkan input yang salah lolos dari verifikasi perkalian kurva eliptik, sehingga dapat menghasilkan ZEC palsu.
Mekanisme privasi meningkatkan kesulitan verifikasi
Pengembang menyatakan bahwa saat ini tidak ada bukti yang menunjukkan kerentanan tersebut telah dimanfaatkan sebelum diperbaiki. Namun, transaksi Orchard menggunakan mekanisme perlindungan privasi, sehingga pihak luar tidak dapat memverifikasi setiap transaksi secara terperinci seperti pada buku besar publik, dan tidak ada metode pasti untuk membuktikan bahwa token palsu tidak pernah memasuki peredaran.
Ini berarti bahwa meskipun masalah telah diperbaiki, integritas pasokan Zcash masih menyisakan ketidakpastian. Shielded Labs menyatakan bahwa tim menilai kemungkinan eksploitasi secara historis rendah, salah satu alasannya adalah kerentanan ini tidak terdeteksi oleh para peneliti kriptografi berpengalaman selama periode yang lama; setelah masalah dikonfirmasi secara internal, jendela eksploitasi juga cepat menyempit.
Tim mengevaluasi upgrade jaringan selanjutnya
Pengungkapan ini juga menyebutkan bahwa para peneliti menggunakan model Opus 4.8 dari Anthropic serta metode audit berbantuan AI yang disesuaikan selama proses tinjauan. Shielded Labs menyatakan bahwa kerentanan ditemukan tak lama setelah peluncuran model baru.
Tim saat ini sedang mengevaluasi apakah akan meluncurkan pembaruan jaringan berikutnya untuk lebih memverifikasi kelengkapan pasokan Zcash dan menghilangkan kekhawatiran publik mengenai ZEC palsu. Solusi awal mencakup mengaktifkan kolam tersembunyi baru dan menerapkan verifikasi "turnstile accounting" pada token yang keluar dari Orchard. Detail lebih lanjut diharapkan diumumkan minggu depan.
- Waktu penemuan: 29 Mei 2026
- Perbaikan darurat selesai: 2 Juni 2026
- Waktu pengungkapan publik: 5 Juni 2026