Un chercheur en sécurité, Taylor Hornby, a découvert une faille critique dans le pool de confidentialité Orchard de Zcash le 29 mai, capable de frapper un nombre illimité de faux jetons ZEC. L'annonce a déclenché une baisse de prix de plus de 40 % de ZEC en 24 heures, alors que les détenteurs évaluaient si de fausses pièces étaient entrées dans le pool protégé. Le défaut était resté non détecté depuis le lancement d'Orchard en mai 2022, ayant survécu à plusieurs audits de sécurité avant que Hornby ne le divulgue en privé au fondateur de Zcash, Zooko Wilcox, ce qui a conduit à un correctif d'urgence déployé le 2 juin.
Taylor Hornby découvre une faille de contrefaçon dans Orchard le 29 mai
Le fondateur de Zcash, Zooko Wilcox, a confirmé que Taylor Hornby avait mis au jour une vulnérabilité de contrefaçon dans Orchard et la lui avait divulguée en privé le 29 mai. Le bug pouvait créer des pièces ZEC contrefaites indétectables que le réseau accepterait comme authentiques, tandis que la fraude resterait invisible à l'intérieur du pool protégé. Hornby a mis au point un exploit complet avec l'aide d'un modèle d'intelligence artificielle et a généré un nombre illimité de ZEC contrefaits lors de tests locaux.
Les développeurs ont révélé que la faille était présente depuis le lancement du pool Orchard en mai 2022. Le bug est resté non détecté pendant environ quatre ans et a survécu à des audits répétés menés par des spécialistes qui ne l'ont jamais repéré. Comme Orchard est un système entièrement protégé, il n'existe aucun moyen cryptographique de prouver que le bug n'a jamais été exploité. Les mêmes garanties de confidentialité qui rendent Zcash attrayant pour des transactions confidentielles rendent impossible l'audit de l'offre protégée pour des pièces contrefaites frappées avant l'arrivée du correctif.
Zcash Open Development Lab expédie un correctif d'urgence le 2 juin
Hornby a signalé le problème au Zcash Open Development Lab, qui a coordonné une réponse d'urgence à travers les portefeuilles, les bourses et les opérateurs de nœuds avant d'expédier une correction le 2 juin. Dans un billet détaillé publié sur le forum de la communauté Zcash, l'équipe a détaillé la vulnérabilité et a présenté les prochaines étapes, notamment des propositions visant à renforcer la vérification de l'offre.
Malgré la gravité, les développeurs ont appelé à la prudence, avec Shielded Labs, en disant ne pas être « excessivement préoccupés » par le fait que la contrefaçon se soit effectivement produite. L'argument était que le bug avait survécu pendant des années à des revues menées par certains des cryptographes les plus compétents au monde, sans être découvert ni exploité.
Le prix de ZEC chute de 40 % après la divulgation de la vulnérabilité
ZEC a perdu environ 40 % de sa valeur dans les 24 heures suivant la divulgation. Le token était monté au-dessus de 600 $ plus tôt au cours de la période, à un moment donné en dépassant monero en capitalisation boursière, avant que la divulgation d'Orchard n'efface une partie de ces gains.
Pour les détenteurs, le coût immédiat a été le prix, alors que ZEC a annulé une portion significative d'une reprise qui avait fait du token l'un des actifs crypto les mieux performants de l'année. La divulgation est intervenue alors que les tokens de confidentialité progressaient dans un contexte de recul mondial face à la surveillance financière, ZEC figurant parmi les meilleurs performers. L'intérêt institutionnel montait aussi, avec Grayscale qui se dirige vers un produit ZEC réglementé.
FAQ
Quelle vulnérabilité Taylor Hornby a-t-il découverte dans Zcash le 29 mai ?
Taylor Hornby a découvert une vulnérabilité de contrefaçon dans le pool de confidentialité Orchard de Zcash le 29 mai, capable de frapper un nombre illimité de jetons ZEC contrefaits. Le bug pouvait créer de fausses pièces indétectables que le réseau accepterait comme authentiques, tandis que la fraude resterait invisible à l'intérieur du pool protégé. Hornby a mis au point un exploit complet avec l'aide d'un modèle d'intelligence artificielle et a généré un nombre illimité de ZEC contrefaits lors de tests locaux.
Comment les développeurs de Zcash ont-ils réagi au bug d'Orchard ?
Le Zcash Open Development Lab a coordonné une réponse d'urgence à travers les portefeuilles, les bourses et les opérateurs de nœuds après que Taylor Hornby a signalé le problème. Les développeurs ont expédié un correctif le 2 juin et ont publié une explication détaillée sur le forum de la communauté Zcash. L'équipe a présenté des propositions visant à renforcer la vérification de l'offre et a appelé à la prudence, indiquant qu'ils n'étaient pas « excessivement préoccupés » par le fait que la contrefaçon se soit effectivement produite, car le bug a survécu pendant des années à des revues menées par des cryptographes compétents sans être exploité.
Pourquoi le prix de ZEC a-t-il chuté de plus de 40 % après la divulgation de la vulnérabilité ?
ZEC a chuté de plus de 40 % sur 24 heures, les détenteurs évaluant si de fausses pièces avaient été introduites dans le pool protégé avant le correctif. Comme Orchard est un système entièrement protégé, il n'existe aucun moyen cryptographique de prouver que le bug n'a jamais été exploité. Les mêmes garanties de confidentialité qui rendent Zcash attrayant pour des transactions confidentielles rendent impossible l'audit de l'offre protégée pour des pièces contrefaites frappées avant l'arrivée du correctif du 2 juin.
