Media asing melaporkan bahwa Zcash baru-baru ini memperbaiki kerentanan serius di kolam privasi Orchard, tetapi penjualan pasar tidak mereda karena alasan ini. Masalahnya bukan pada apakah kerentanan tersebut sudah ditambal, tetapi pada ketidakmampuan jaringan untuk membuktikan bahwa cacat ini tidak pernah dimanfaatkan dalam empat tahun terakhir, sehingga kepercayaan terhadap pasokan menjadi diragukan.
Artikel komentar ini berpendapat bahwa insiden ini bukan hanya menunjukkan masalah perangkat lunak tunggal, melainkan tantangan jangka panjang yang melekat pada mata uang privasi: semakin sulit audit transaksi oleh pihak luar, semakin sulit pula verifikasi independen terhadap kelengkapan pasokan. Bagi jaringan yang bergantung pada perlindungan privasi, keraguan semacam ini sendiri akan tercermin dalam harga.
Vulnerability can lead to forged ZEC
Masalah muncul di Orchard. Ini adalah kolam privasi inti dalam sistem transaksi tersembunyi Zcash yang digunakan untuk menyembunyikan alamat dan jumlah transfer. Menurut pengungkapan Shielded Labs, kelemahan sirkuit ini secara teoritis memungkinkan penyerang untuk menghasilkan ZEC tambahan tanpa terdeteksi, dengan batas jumlah yang tidak terbatas.
Peneliti keamanan Taylor Hornby menemukan masalah ini pada 29 Mei 2026. Laporan menyebutkan bahwa ia menggunakan alat bantu AI saat melakukan audit terarah pada sirkuit Orchard, dan melakukan verifikasi kelayakan di lingkungan pengujian lokal. Tim pengembang kemudian segera mempercepat proses perbaikan.
- Waktu penemuan kerentanan: 29 Mei 2026
- Waktu penyelesaian hard fork darurat: 1 Juni 2026
- Modul yang terdampak: Sirkuit kolam privasi Orchard
Setelah diperbaiki, pasar tetap anjlok
Pengembang menonaktifkan komponen yang berisiko dalam beberapa hari setelah pengungkapan, dan menerapkan kembali sirkuit yang diperbaiki melalui hard fork darurat. Menurut standar penanganan insiden keamanan umum, responsnya tidak lambat, dan tidak ditemukan dana yang dicuri maupun indikasi inflasi yang jelas.
Namun, artikel komentar menunjukkan bahwa yang sebenarnya dikhawatirkan pasar adalah "apa yang telah terjadi di masa lalu," bukan "apakah masalahnya telah diperbaiki di masa depan." Karena Orchard telah beroperasi sejak Mei 2022, ini berarti kerentanan tersebut telah bersembunyi di jaringan selama sekitar empat tahun. Zcash dapat mengonfirmasi bahwa patch telah diterapkan, tetapi tidak dapat membuktikan secara kriptografis bahwa tidak ada yang memanfaatkan kelemahan ini selama empat tahun tersebut.
Laporan tersebut menyebutkan bahwa ZEC sempat melebihi $600 pada minggu ketika kerentanan ditemukan, lalu turun sekitar 45% menjadi sekitar $314 setelah pengungkapan, dengan kapitalisasi pasar menghilang lebih dari $3 miliar. Artikel tersebut juga menyatakan bahwa Arthur Hayes, salah satu pendiri BitMEX, menjual seluruh posisi ZEC-nya setelah berita ini diumumkan, yang semakin memperbesar sensitivitas pasar terhadap masalah pasokan.
Kontradiksi antara privasi dan auditabilitas semakin diperbesar
Artikel tersebut berpendapat bahwa insiden ini memicu dampak berkelanjutan karena desain privasi Zcash itu sendiri membatasi kemampuan audit eksternal. Seperti blockchain transparan seperti Bitcoin, pihak luar dapat langsung memeriksa buku besar publik untuk memverifikasi apakah pasokan total tidak wajar; namun di dalam pool transaksi tersembunyi, alamat dan jumlahnya disembunyikan, sehingga pihak luar sulit memberikan kesimpulan langsung yang sama.
Ini juga merupakan kompromi jangka panjang yang dihadapi mata uang privasi: perlindungan privasi yang lebih kuat sering berarti kemampuan audit independen yang lebih lemah. Artikel tersebut menyatakan bahwa ini bukanlah masalah yang dapat sepenuhnya diselesaikan dengan sekali patch, melainkan realitas yang harus dihadapi oleh jaringan privasi dalam desainnya.
Shielded Labs saat ini sedang mendorong verifikasi formal terhadap sirkuit Orchard dan mengusulkan rencana peningkatan jaringan selanjutnya, termasuk memperkenalkan kolam tersembunyi baru, serta melacak aliran dana dari kolam Orchard yang ada melalui metode akuntansi "turnstile", dengan tujuan meningkatkan verifiabilitas pasokan sambil mempertahankan fitur privasi.
Jika solusi ini diimplementasikan, ia mungkin menyediakan contoh referensi untuk menangani masalah audit pasokan pada mata uang privasi. Namun sebelum itu, pasar masih perlu mencerna fakta yang lebih langsung: kerentanan telah diperbaiki, tetapi tidak berarti risiko historis telah sepenuhnya dihilangkan.