Zcash chronologie des vulnérabilités critiques : chute de prix jusqu'à 40 %, cas emblématique d'audit par IA

Édition | Grok et al.

Zcash, en tant que projet de cryptomonnaie axé sur la confidentialité, est reconnu pour sa fonction puissante de transactions shielded (protégées). Ces transactions utilisent la technologie de preuve à zéro connaissance (Zero-Knowledge Proof, ZKP), permettant aux utilisateurs d’effectuer des transferts sans révéler de détails tels que le montant ou l’adresse, protégeant ainsi la vie privée.

En avril-mai 2026, le prix du ZEC a connu une hausse significative, atteignant un pic de 150 %, avec une capitalisation boursière dépassant plusieurs milliards de dollars. Avec le renforcement de la réglementation mondiale et l’augmentation de la transparence sur la chaîne, la crainte des actifs « saisissables / surveillables » s’est accrue. La pool de shielded de Zcash (notamment la pool Orchard) offre une protection optionnelle de la vie privée, attirant les investisseurs recherchant des actifs résistants à la censure et à la saisie. Des institutions comme Multicoin Capital ont clairement positionné le ZEC comme un retour à l’idéal cypherpunk, soulignant que dans l’ère de la finance on-chain, la confidentialité deviendra une exigence centrale. Ce récit résonne avec un contexte de marché plus large (par exemple, la discussion sur une éventuelle taxe sur la richesse), stimulant l’afflux de capitaux.

Les technologies cypherpunk (soutien de Winklevoss) ont fait grimper la valeur, la société ayant massivement acheté du ZEC, détenant environ 1,7 % à 2 % de l’offre totale, devenant ainsi un acteur institutionnel clé. Les jumeaux Winklevoss (fondateurs de Gemini) soutiennent Zcash depuis longtemps, ayant effectué plusieurs dons et renforçant leur position via leurs entités. Foundry Digital a lancé une pool de minage ZEC pour institutions ; des fonds comme Maelstrom (lié à Arthur Hayes) ont également accru leurs positions. Grayscale a soumis une demande pour transformer le Zcash Trust en le premier ETF spot sur une cryptomonnaie axée sur la confidentialité aux États-Unis (potentiel ticker ZCSH). Si approuvé, cela offrira une voie réglementaire pour les fonds institutionnels, attirant potentiellement des milliards de dollars.

Cependant, récemment, la dernière pool de confidentialité de Zcash, Orchard, a révélé une vulnérabilité majeure, provoquant une forte volatilité du marché. L’équipe a rapidement pris des mesures d’urgence, désactivant temporairement ces transactions via un soft fork, puis effectuant une correction par hard fork. Aucun signe d’exploitation réelle n’a été détecté, mais la nature même de la conception de la confidentialité complique la vérification de l’intégrité de l’approvisionnement. Cet article, basé sur des annonces officielles, des forums de développeurs et des médias fiables, présente une chronologie détaillée et explique les termes techniques clés.

Qu’est-ce que la pool Orchard ? Pourquoi est-elle si importante ?

Orchard est la dernière pool de shielded de Zcash, lancée lors de la mise à niveau du réseau NU5 en mai 2022. Contrairement aux pools Sprout et Sapling plus anciens, Orchard repose sur Halo 2, un système de preuve à zéro connaissance avancé sans configuration de confiance, permettant d’améliorer considérablement l’efficacité de la confidentialité et la scalabilité.

Au moment de la divulgation de la vulnérabilité, Orchard détenait plus de 4,5 millions de ZEC, représentant une part importante de l’offre totale, d’une valeur de plusieurs milliards de dollars. Elle constitue le cœur de l’architecture de confidentialité de Zcash, mais la complexité des circuits de preuve à zéro connaissance pose des défis pour leur audit à long terme.

Nature de la vulnérabilité : explication détaillée du bug de soundness

Il s’agit d’un bug de soundness (cohérence) situé dans le circuit Orchard Action (qui traite les actions de transactions shielded). Plus précisément, le circuit était sous-contraint, permettant la génération de preuves invalides mais acceptées par le réseau.

En termes simples : dans un système de preuve à zéro connaissance, la soundness garantit que seules les transactions légitimes peuvent être validées. Si cette propriété est compromise, un attaquant pourrait théoriquement falsifier des preuves pour réaliser un double-spending ou créer de faux ZEC dans la pool Orchard, sans détection. La vulnérabilité est présente depuis près de 4 ans, depuis le lancement d’Orchard en 2022.

Il est important de noter que, grâce au mécanisme de turnstile de Zcash (un système de vérification inter-pool), même si Orchard est compromis, l’offre totale ne peut pas être indéfiniment gonflée — le turnstile limite la valeur sortante à celle entrante. Cependant, la nature privée de la pool rend difficile la preuve cryptographique à 100 % que la pool n’a jamais été exploitée.

Processus de détection (29 mai)

Le 29 mai 2026 : un chercheur en sécurité indépendant, Taylor Hornby (ancien ingénieur sécurité chez Electric Coin Company, mandaté par Shielded Labs pour un audit du protocole), découvre la vulnérabilité lors d’un audit de routine. Il utilise le modèle d’IA Claude Opus 4.8, récemment publié par Anthropic, pour analyser le circuit, et parvient à construire un exploit complet en environnement local, générant une quantité illimitée de ZEC falsifiés.

Hornby informe en privé le Zcash Open Development Lab (ZODL) et la Zcash Foundation le jour même. L’équipe lance immédiatement une réponse d’urgence, coordonnant mineurs, échanges et opérateurs de nœuds.

Première phase de réponse d’urgence : soft fork pour désactiver Orchard (1-2 juin)

Les négociations privées commencent dès la soirée du 31 mai. La première tentative de soft fork rencontre des problèmes de coordination pour le déploiement, l’équipe itère rapidement.

Le 2 juin 2026 (vers 2h UTC, bloc 3 363 426) : déploiement de la mise à jour d’urgence Zebra 4.5.3, activation du soft fork. Le réseau demande aux nœuds et mineurs de rejeter toutes les transactions et blocs contenant des actions Orchard, désactivant temporairement Orchard (les transactions Sapling et transparent restent actives). L’objectif est de prévenir toute exploitation potentielle pendant la correction.

Le réseau connaît une instabilité passagère, avec plusieurs chaînes concurrentes et blocs orphanés. Les portefeuilles comme Cake Wallet limitent temporairement la fonctionnalité ZEC, mais la chaîne continue de fonctionner.

Deuxième phase : hard fork NU6.2 pour correction (3 juin)

Le 3 juin 2026 (vers 00h05 EDT, bloc 3 364 600) : activation du hard fork NU6.2, supporté par Zebra 5.0.0. La mise à jour incorpore le circuit Orchard corrigé, avec une nouvelle clé de vérification (per-circuit), et réactive les transactions Orchard.

De la découverte à la restauration complète, cela ne prend qu’environ 5 jours, ce qui constitue une deuxième fois dans l’histoire de Zcash qu’une mise à niveau protocolaires est menée pour des raisons de sécurité. ZODL et la fondation confirment : aucun fonds n’a été perdu, aucune valeur non autorisée créée, le mécanisme de turnstile n’a pas détecté d’anomalie, la vie privée et la sécurité des fonds sont assurées.

Réaction du marché et impact communautaire

Après la divulgation, le prix du ZEC a fortement fluctué, chutant près de 40-50 % depuis le sommet, avec une évaporation de plusieurs milliards de dollars de capitalisation. Certains acteurs connus (comme Arthur Hayes) ont liquidé leurs positions, et les dérivés ont connu une forte activité short. Mais après la correction, le prix s’est stabilisé.

Les discussions communautaires portent notamment sur : l’impact de la suspension de la pool sur la narration décentralisée, le rôle de l’IA dans l’audit de sécurité, les défis de maintien de la double node (zcashd + Zebra), et la prochaine mise à niveau NU7 (bloc plus rapide, support d’actifs shielded, etc.). Shielded Labs propose aussi une nouvelle mise à niveau pour renforcer la vérifiabilité de l’offre via de nouvelles pools et le mécanisme turnstile.

Cet incident met en lumière la difficulté d’équilibrer confidentialité extrême et auditabilité dans les cryptomonnaies. La réponse rapide et professionnelle de l’équipe Zcash est à saluer — une coordination efficace pour réaliser une mise à jour complexe en peu de temps, un exemple dans l’histoire de la crypto.

Mais la double nature de la conception de la confidentialité rappelle aussi que les systèmes zk complexes nécessitent une validation formelle continue, des audits multiples et des outils d’IA. Zcash, en tant que pionnier de la confidentialité, devra continuer à évoluer avec la migration vers Zebra, l’optimisation de la gouvernance, et les opportunités institutionnelles (comme un potentiel ETF), pour restaurer la confiance à long terme.

Cas emblématique de l’audit de sécurité assisté par IA

Dans l’incident de vulnérabilité de soundness de la pool Orchard de Zcash, un détail très suivi est la découverte et la validation par le chercheur en sécurité Taylor Hornby, qui a utilisé le modèle d’IA Claude Opus 4.8 d’Anthropic, récemment publié, pour repérer cette faille latente depuis près de 4 ans. Ce processus met en évidence le potentiel puissant de l’IA dans l’audit cryptographique complexe, et offre une leçon importante pour la sécurité blockchain.

Anthropic a officiellement lancé Claude Opus 4.8 le 28 mai 2026, dernier modèle phare de la série Opus. Il atteint un niveau de pointe en capacité de codage, tâches d’agent, raisonnement sur de longues chaînes contextuelles, et expertise spécialisée, supportant jusqu’à 1 million de tokens dans la fenêtre contextuelle, avec de nouvelles fonctionnalités comme « Dynamic Workflows » et « effort controls ».

Hornby, en tant qu’ingénieur de sécurité indépendant mandaté par Shielded Labs, a commencé à examiner le protocole Zcash dès avril 2026. Le lendemain de la sortie de Claude Opus 4.8 (29 mai), il a combiné le modèle avec un cadre d’audit IA personnalisé pour examiner spécifiquement le circuit Orchard Action.

Grâce à la compréhension avancée du code et au raisonnement complexe de l’IA, Hornby a non seulement identifié le problème de sous-contraintes, mais aussi écrit un exploit complet. En environnement de test local, cet exploit peut générer une quantité illimitée de ZEC falsifiés, indétectables, qui se confondent avec le vrai dans la pool de confidentialité.

Ce processus fusionne méthodes traditionnelles de recherche en sécurité et outils IA de pointe : Opus 4.8 aide à analyser la logique mathématique elliptique, à générer des cas de test, et à assister la génération de preuves, accélérant considérablement la transition de la découverte théorique à la validation pratique. Hornby a ensuite informé de manière responsable le Zcash Open Development Lab (ZODL), évitant tout risque pour le réseau principal.

Cet événement est considéré comme un cas emblématique de l’audit de sécurité assisté par IA. Malgré plusieurs audits manuels et vérifications formelles ces dernières années, la complexité des circuits de preuve à zéro connaissance (notamment Halo 2 et Orchard) laisse encore des zones d’ombre difficiles à couvrir entièrement. L’intervention de Claude Opus 4.8 montre le potentiel des grands modèles pour traiter d’énormes volumes de code, repérer des contraintes subtiles manquantes, et renforcer la sécurité.

L’utilisation de Claude Opus 4.8 dans la détection de vulnérabilités Zcash marque une transition de l’IA en simple outil d’assistance à une force de sécurité centrale. Elle accélère la réponse (de la divulgation à la correction en quelques jours) et établit un nouveau paradigme pour la « white-hat AI » dans la crypto. Avec l’émergence de modèles avancés comme Anthropic Mythos, l’efficacité des audits de protocoles blockchain pourrait connaître une croissance exponentielle.