Zcash (ZEC) yang berfokus pada privasi mengalami penurunan tajam dalam 24 jam terakhir, turun sekitar 30% menjadi $400 di tengah kelemahan pasar yang lebih luas. Aksi jual meningkat setelah Shielded Labs, pengembang Zcash nirlaba, mengungkapkan kerentanan kritis dalam pool privasi Orchard blockchain yang dapat mengancam integritas pasokan token.
Akhir hari Kamis, Shielded Labs mempublikasikan pengungkapan terperinci di X, mengungkap kerentanan yang jika dieksploitasi, dapat memungkinkan penyerang membuat token ZEC palsu dalam jumlah tak terbatas tanpa terdeteksi sama sekali. Bayangkan seseorang secara diam-diam mendapatkan akses ke mesin pencetak dolar Federal Reserve, kecuali dalam kasus ini, bahkan Fed pun tidak akan bisa mengetahui bahwa dolar tambahan tersebut dicetak.
Kerentanan ini ditemukan pada 29 Mei oleh Taylor Hornby, seorang insinyur keamanan yang direkrut oleh Shielded Labs pada April 2026 secara khusus untuk mengidentifikasi kerentanan protokol sebelum pelaku jahat dapat melakukannya. Bekerja sama dengan model AI Opus 4.8 yang baru dirilis Anthropic, Hornby melakukan peninjauan yang sangat terfokus pada sirkuit Orchard, yang merupakan sistem kriptografi yang mendukung pool privasi paling canggih Zcash.
Shielded Labs menyatakan Hornby menulis eksploitasi lengkap yang, saat diuji di lingkungan pengujian lokal, menghasilkan ZEC palsu tak terbatas dan tidak terdeteksi. Shielded Labs menambahkan bahwa jika alat yang sama dijalankan di mainnet Zcash, alat tersebut akan menghasilkan token palsu tak terbatas dan tidak terdeteksi di dompet mainnet-nya.
Bayangkan seorang penyerang secara diam-diam mencetak ZEC palsu tak terbatas dan menyimpannya tanpa terdeteksi. Kerusakan pada kepercayaan terhadap pasokan dan, pada gilirannya, nilai pasar token bisa sangat parah.
Hornby segera mengungkapkan kerentanan tersebut kepada Zcash Open Development Lab (ZODL), yang mengoordinasikan perbaikan darurat pada 1 Juni, menutupnya dalam beberapa hari setelah penemuan.
Bug tak terdeteksi selama empat tahun
Namun, pendekatan proaktif dalam memperbaiki bug ini tampaknya tidak meyakinkan pasar. Hal ini mungkin karena, seperti yang diakui Shielded Labs sendiri, bug tersebut telah ada sejak aktivasi Orchard pada Mei 2022. Dengan kata lain, bug itu ada dan tidak terdeteksi selama empat tahun.
Yang membuat situasi semakin rumit bagi pasar adalah pengakuan Shielded Labs bahwa mereka tidak dapat memastikan apakah bug tersebut dieksploitasi sebelum perbaikan dilakukan.
"Yang membuat ini sangat menantang adalah bahwa, karena sifat privasi Orchard dan sifat bug tersebut, tidak ada cara pasti untuk menentukan hanya dengan menggunakan kriptografi apakah eksploitasi semacam itu terjadi sebelum kerentanan ditemukan dan diperbaiki. Kami percaya penting untuk transparan mengenai ketidakpastian tersebut," kata perusahaan tersebut.
Namun, mereka menekankan bahwa eksploitasi kemungkinan tidak terjadi karena beberapa alasan. Pertama, bug tersebut telah lolos dari pengawasan kriptografer berpengalaman selama bertahun-tahun. Bug ini terungkap hanya dengan bantuan alat AI mutakhir dan peneliti yang sangat terampil yang sengaja mencarinya. Dan begitu ditemukan, bug tersebut segera diperbaiki, menyisakan sedikit waktu bagi siapa pun untuk mengeksploitasinya.
"Kami pikir dia mungkin berhasil," kata Shielded Labs mengenai upaya Hornby menemukan kerentanan sebelum pelaku jahat dapat melakukannya.
Namun, organisasi tersebut dengan hati-hati menambahkan bahwa pengguna tidak boleh hanya mengandalkan penilaian mereka dan mengusulkan peningkatan jaringan yang akan memungkinkan siapa pun memverifikasi integritas pasokan ZEC secara independen. Usulan tersebut melibatkan penerapan pool terlindung baru dan memberlakukan akuntansi turnstile pada semua koin dari pool Orchard. Perusahaan tersebut mengatakan dapat mempublikasikan postingan terperinci mengenai hal ini minggu depan.
Mereka juga mengatakan sedang mempercepat upaya keamanan, termasuk melanjutkan kerja sama dengan Hornby, proyek verifikasi formal yang bertujuan menulis bukti matematis bahwa tidak ada bug yang belum ditemukan dalam sirkuit Orchard, dan perekrutan baru untuk Kepala Keamanan dan Kriptografer.