Seorang peneliti keamanan menemukan kerentanan kritis pada node Zcash yang berpotensi memungkinkan penambang berbahaya menguras lebih dari 25.000 ZEC dari Sprout shielded pool yang sudah tidak digunakan milik jaringan—jumlah senilai sekitar $6,5 juta pada saat penulisan. Alex "Scalar" Sol mengungkapkan celah tersebut pada 23 Maret, menurut laporan pengungkapan yang dirilis pada hari Selasa, yang mengungkap bahwa node zcashd melewati verifikasi bukti untuk transaksi yang melibatkan Sprout shielded pool versi lama. Bug tersebut tidak dieksploitasi dan dana semua pengguna tetap aman, menurut pengungkapan tersebut. Kerentanan ini mencakup rilis dari Juli 2020 hingga saat ini, dengan pengembang Zcash merilis v6.12.0 pada hari Selasa untuk menutup perbaikan tersebut. Perusahaan penambangan besar bergerak cepat untuk mem-patch sistem mereka—Luxor mining pool mengonfirmasi penerapan pada 25 Maret, sementara F2Pool, ViaBTC, dan AntPool semuanya menerapkan perbaikan tersebut pada 26 Maret, menurut laporan yang sama.
Implementasi full node Zebra tidak terpengaruh oleh kerentanan tersebut, kata laporan itu, dan akan memicu percabangan rantai jika eksploitasi dicoba, sehingga memberikan lapisan perlindungan tambahan bagi jaringan. Sol, yang menemukan kerentanan tersebut dengan bantuan AI, melaporkannya ke Shielded Labs pada 23 Maret. Organisasi tersebut berkoordinasi dengan Zcash Open Development Lab (ZODL), yang insinyurnya Jack "str4d" Grigg menulis patch. Untuk pengungkapan ini, Sol akan menerima hadiah total 200 ZEC—senilai lebih dari $51.000—dengan Shielded Labs, ZODL, Zcash Foundation, dan Bootstrap masing-masing menyumbang 50 ZEC. Sprout shielded pool ditutup untuk setoran baru pada November 2020, sehingga menjadikannya komponen yang sudah tidak digunakan namun masih aktif dengan sekitar 25.424 ZEC yang belum dimigrasikan oleh pengguna ke versi pool shielded yang lebih baru.
Meskipun kerentanan itu dapat memungkinkan pengurasan dana tersebut, Zcash Open Development Team (ZODL) mengatakan bahwa mekanisme “turnstile” milik Zcash akan mencegah inflasi pasokan yang lebih luas. Turnstile mengharuskan bahwa setiap koin yang keluar dari Sprout shielded pool harus secara terverifikasi telah masuk ke dalamnya, sehingga menciptakan pengaman terhadap pembuatan token baru di luar total peredaran jaringan sekitar 16,63 juta ZEC. Ini bukan pertama kalinya jaringan menghadapi kerentanan besar. Kembali pada 2019, jaringan menambal bug yang digambarkan sebagai generator kripto “pemalsuan tak terbatas”, meskipun bug itu sudah ditambal sebelum menjadi masalah besar bagi jaringan koin privasi tersebut. Zcash menjadi peraih keuntungan terbesar dalam 24 jam terakhir di antara 100 koin teratas berdasarkan kapitalisasi pasar, menurut data CoinGecko, naik lebih dari 14% ke harga terbaru di atas $255. Harga koin privasi itu melonjak tajam musim gugur lalu dari sekitar $50 menjadi puncak multi-tahun mendekati $700, tetapi telah turun seiring Bitcoin dan mata uang kripto lain dalam beberapa bulan terakhir.