Le Zcash (ZEC), axé sur la confidentialité, a subi de lourdes pertes au cours des dernières 24 heures, chutant d'environ 30 % à 400 dollars dans un contexte de faiblesse généralisée du marché. Les ventes se sont accélérées après que Shielded Labs, une organisation de développement non lucrative de Zcash, a divulgué une vulnérabilité critique dans le pool de confidentialité Orchard de la blockchain, qui aurait pu menacer l'intégrité de l'offre du token.
Jeudi soir, Shielded Labs a publié une divulgation détaillée sur X, révélant une vulnérabilité qui, si elle avait été exploitée, aurait permis à un attaquant de créer un nombre illimité de tokens ZEC contrefaits, complètement indétectables. Imaginez que quelqu'un obtienne secrètement accès à la presse à billets de la Réserve fédérale, sauf que dans ce cas, même la Fed ne pourrait pas dire que ces dollars supplémentaires ont été imprimés.
La vulnérabilité a été découverte le 29 mai par Taylor Hornby, un ingénieur en sécurité engagé par Shielded Labs en avril 2026 spécifiquement pour identifier les vulnérabilités du protocole avant que des acteurs malveillants ne le puissent. Travaillant avec le modèle d'IA Opus 4.8 récemment publié par Anthropic, Hornby a effectué un examen hautement ciblé du circuit Orchard, qui est le système cryptographique sous-tendant le pool de confidentialité le plus avancé de Zcash.
Shielded Labs a indiqué que Hornby a écrit un exploit complet qui, lors des tests dans un environnement local, a généré des ZEC contrefaits illimités et indétectables. Shielded Labs a ajouté que si le même outil avait été exécuté sur le réseau principal de Zcash, il aurait généré des tokens contrefaits illimités et indétectables dans son portefeuille du réseau principal.
Imaginez un attaquant imprimant silencieusement des ZEC contrefaits illimités et les détenant sans être détecté. Les dommages à la confiance dans l'offre et, par extension, à la valeur marchande du token auraient pu être graves.
Hornby a immédiatement divulgué la vulnérabilité au Zcash Open Development Lab (ZODL), qui a coordonné une correction d'urgence le 1er juin, la fermant dans les jours suivant sa découverte.
Bug passé inaperçu pendant quatre ans
Pourtant, l'approche apparemment proactive de correction des bugs n'a pas impressionné les marchés. Cela est probablement dû au fait que, comme Shielded Labs l'a elle-même admis, le bug était présent depuis l'activation d'Orchard en mai 2022. En d'autres termes, il a existé, sans être détecté, pendant quatre ans.
Ce qui rend la situation encore plus complexe pour les marchés est la reconnaissance par Shielded Labs qu'elle ne peut pas affirmer avec certitude si le bug a été exploité avant la correction.
« Ce qui rend cela particulièrement difficile est que, en raison des propriétés de confidentialité d'Orchard et de la nature du bug, il n'existe aucun moyen définitif de déterminer, en utilisant uniquement la cryptographie, si une telle exploitation s'est produite avant que la vulnérabilité ne soit découverte et corrigée. Nous pensons qu'il est important d'être transparent sur cette incertitude », a déclaré l'entreprise.
Néanmoins, elle a souligné que l'exploitation n'a probablement pas eu lieu pour plusieurs raisons. Premièrement, le bug avait échappé à l'examen de cryptographes expérimentés pendant des années. Il n'a été mis au jour qu'avec l'aide d'outils d'IA de pointe et de chercheurs hautement qualifiés travaillant délibérément pour le trouver. Et une fois découvert, il a été corrigé rapidement, laissant peu de temps à quiconque pour l'exploiter.
« Nous pensons qu'il a probablement réussi », a déclaré Shielded Labs au sujet des efforts de Hornby pour trouver la vulnérabilité avant les acteurs malveillants.
Cependant, l'organisation a pris soin d'ajouter que les utilisateurs ne doivent pas se fier uniquement à leur évaluation et a proposé une mise à niveau du réseau qui permettrait à quiconque de vérifier indépendamment l'intégrité de l'offre de ZEC. La proposition implique le déploiement d'un nouveau pool blindé et l'application d'une comptabilité à tourniquet (turnstile accounting) sur toutes les pièces du pool Orchard. L'entreprise a indiqué qu'elle pourrait publier un article détaillé à ce sujet la semaine prochaine.
Elle a également déclaré qu'elle accélère ses efforts de sécurité, notamment en poursuivant son travail avec Hornby, un projet de vérification formelle visant à rédiger une preuve mathématique qu'il n'y a pas de bugs non découverts dans le circuit Orchard, et de nouveaux recrutements pour un responsable de la sécurité et un cryptographe.