L’article révèle que le chercheur en sécurité Taylor Hornby a découvert le 29 mai une faille grave de falsification dans la dernière génération de la piscine privée Orchard de Zcash. Un attaquant peut construire une transaction qui ne devrait pas passer la validation, générant ainsi une quantité infinie et indétectable de ZEC falsifiés dans Orchard.

Ce n’est pas un risque purement théorique. Taylor a déjà écrit un programme d’exploitation complet dans un environnement de test local, générant effectivement des ZEC falsifiés. Si ce programme était déployé sur le réseau principal, un attaquant pourrait théoriquement créer une quantité illimitée d’actifs falsifiés dans son portefeuille principal.

Après la divulgation, le prix du ZEC a chuté de plus de 30 %. Selon CoinMarketCap, le ZEC est tombé à un minimum de 408,39 dollars en 24 heures, soit environ un tiers de sa valeur maximale de 610,47 dollars à la même période. Malheureusement, c’était l’un des rares actifs dans la sphère crypto à bénéficier récemment d’un effet de richesse positif, soutenu par une narration favorable et de nombreux investisseurs influents, qui est maintenant complètement brisé par cette faille.

Si l’on ne regarde que le résultat, cela ressemble à une crise de sécurité cryptographique familière : la faille est découverte, les développeurs corrigent en urgence, le marché panique.

Mais l’affaire Orchard est plus complexe : bien que la faille ait été corrigée, la communauté Zcash ne peut pas répondre directement à une question encore plus sensible :

Depuis quatre ans, quelqu’un aurait-il déjà exploité cette faille ?

Correction en urgence en quatre jours, Orchard suspendu temporairement

Orchard est la nouvelle génération de protocole de paiement privé lancé par Zcash en 2022, et constitue l’un des principaux pools de confidentialité utilisés actuellement. Les utilisateurs peuvent dissimuler leur solde, le montant des transactions et la provenance des fonds, tout en prouvant la conformité des transactions via des preuves à divulgation zéro.

Selon la chronologie dévoilée par Zooko, Shielded Labs et la communauté Zcash, Taylor a détecté une anomalie lors d’un audit ciblé du circuit Orchard le 29 mai, et a immédiatement informé en privé le Zcash Open Development Lab (ZODL). Shielded Labs, organisation indépendante basée en Suisse, financée par des dons, soutient le développement, la sécurité et la durabilité du protocole Zcash, sans être affiliée à la Zcash Foundation ou au ZODL.

Les ingénieurs du ZODL ont confirmé l’existence du problème en quelques heures, et ont commencé à chercher une solution. Pour éviter d’exposer la faille via une simple publication de patch, ils ont d’abord décidé de suspendre temporairement Orchard : interdiction de créer de nouvelles sorties Orchard, et de dépenser les fonds déjà présents dans Orchard.

Après coordination avec les développeurs, mineurs, opérateurs de nœuds, exchanges et fournisseurs d’infrastructure, une mise à jour de soft fork d’urgence a été activée le 2 juin. Ensuite, Zcash a procédé à une mise à jour par hard fork pour renouveler la clé de validation du circuit Orchard, et a rétabli la fonctionnalité Orchard le 3 juin. Pendant cette période, les adresses transparentes et la piscine Sapling ont continué de fonctionner normalement.