Zcash résout la crise du double-spending ! Activation urgente d'une mise à niveau par hard fork pour réparer la vulnérabilité des preuves à divulgation zéro, l'équipe officielle confirme qu'aucun fonds n'a été perdu

Selon une annonce publiée le 3 juin par la Fondation Zcash, le circuit de preuve à connaissance zéro Orchard de la cryptomonnaie axée sur la confidentialité Zcash a récemment été découvert avec une vulnérabilité grave de solidité (Soundness). L'équipe de développement a lancé en urgence la deuxième mise à niveau de sécurité depuis 2016, en déployant une soft fork Zebra 4.5.3 et une hard fork Zebra 5.0.0 (NU6.2) pour corriger le problème avec succès. Grâce à une notification et une réponse rapides, la vulnérabilité a été résolue avant toute exploitation, évitant ainsi toute perte de fonds ou de confidentialité.
(Précédent contexte : Zcash a cessé de produire des blocs pendant plus de 4 heures ! Après une fork d'urgence, la hauteur 3 364 601 est bloquée, la crise de gouvernance s'aggrave)
(Complément d'information : Arthur Hayes : Acheter Zcash pour la confidentialité, c'est battre Bitcoin à plate couture)

La cryptomonnaie de confidentialité Zcash (ZEC) a récemment traversé une crise de sécurité intense. La Fondation Zcash a officiellement annoncé le 3 juin 2026 la sortie simultanée de Zebra 4.5.3 (version de soft fork d'urgence) et Zebra 5.0.0 (version de mise à niveau du réseau NU6.2), afin de corriger une vulnérabilité critique de solidité dans le circuit de preuve à connaissance zéro Orchard. Cet incident a été découvert le 29 mai par le chercheur en sécurité indépendant Taylor Hornby, lors d’un audit de protocole pour Shielded Labs, qui a identifié cette faille potentiellement fatale pour l’état du réseau, et a immédiatement informé les ingénieurs principaux.

Détails de la vulnérabilité et mécanisme de protection Turnstile

Selon l’explication officielle, cette vulnérabilité de solidité réside principalement dans l’implémentation de halo2_gadgets. Si exploitée malicieusement, un attaquant pourrait faire accepter par le pool Orchard un état invalide, par exemple effectuer un double paiement (double spend) en interne. Heureusement, grâce au mécanisme Turnstile intégré dans l’architecture de Zcash, la quantité totale de jetons est strictement protégée, empêchant un attaquant de créer ou d’augmenter artificiellement l’émission globale de ZEC.

Orchard, en tant que composant central de la nouvelle architecture de confidentialité introduite lors de la mise à niveau NU5 en 2022, repose sur un système de preuve Halo 2 sans configuration de confiance (Trusted Setup) et détient actuellement une grande quantité de ZEC en circulation. La découverte et la correction de cette vulnérabilité sont donc cruciales pour la sécurité de l’ensemble du réseau.

Coordination secrète et mise à niveau par soft et hard fork

Afin d’éviter toute fuite de détails de la vulnérabilité pouvant être exploitée par des hackers durant la période de correction, les ingénieurs principaux de Zcash, les opérateurs d’infrastructure, les mineurs et les exchanges ont mené une coordination discrète en privé. L’équipe a d’abord activé avec succès le soft fork d’urgence (Zebra 4.5.3) au bloc de hauteur 3 363 426 sur le réseau principal le 2 juin, bloquant temporairement toutes les transactions contenant Orchard pour gagner du temps de correction.

Ensuite, la hard fork NU6.2 (Zebra 5.0.0) a été activée officiellement le 3 juin à minuit, heure de l’Est, au bloc de hauteur 3 364 600 sur le réseau principal, réactivant Orchard avec la correction intégrée, et ajoutant une nouvelle règle de consensus pour rejeter les preuves non standard (non-canonical).

Les responsables officiels insistent sur le fait qu’aucune vie privée des utilisateurs n’a été compromise durant cette crise, et que les transactions Sapling et transparentes ont continué à fonctionner normalement. Il s’agit de la deuxième mise à niveau de protocole majeure depuis le lancement du réseau principal en 2016, suite à un problème de sécurité critique. La fondation recommande vivement à tous les opérateurs de nœuds de mettre rapidement à jour vers Zebra 5.0.0 pour assurer leur maintien sur la branche correcte de la blockchain.