ZEC chute de moitié en un jour, Claude Opus 4.8 fait ses débuts en éliminant Zcash

Rédaction : Shannon@金色财经

Mise à jour : ZEC à 15h05 a chuté sous 300 dollars, une baisse de plus de 50 % en 24 heures.

ZEC a chuté de près de 700 dollars à 400 dollars en 24 heures, effaçant ainsi la hausse du mois dernier. La raison est maintenant claire.

Il ne s’agit pas seulement d’Arthur Hayes qui a vendu ZEC, mais aussi d’une faille de sécurité dans Zcash permettant de falsifier à l’infini des ZEC.

Plus intéressant encore, cette faille a été découverte grâce au dernier grand modèle Claude Opus 4.8. Et cette vulnérabilité existe depuis 4 ans.

1.1 Contexte de l’événement

Début juin 2026, la cryptomonnaie axée sur la confidentialité Zcash (ZEC) a connu l’une des crises de sécurité les plus graves depuis sa création.

Le 29 mai 2026, le chercheur en sécurité indépendant Taylor Hornby, lors d’un audit de protocole commandé par Shielded Labs, a découvert une faille grave de falsification dans le pool Orchard de Zcash en utilisant le tout récent grand modèle Claude Opus 4.8, publié le 28 mai par Anthropic, permettant à un attaquant de créer une quantité illimitée de ZEC falsifiés sans être détecté, et a fait une divulgation responsable à Zcash Open Development Lab (ZODL) le soir même.

Cette faille était présente depuis l’introduction du pool Orchard en mai 2022, et est restée latente jusqu’à ce que des ingénieurs la désactivent cette semaine, après environ quatre ans sans détection.

1.2 Analyse technique : une faille fatale dans le circuit de preuve à divulgation zéro

Pour comprendre cet incident, il faut d’abord saisir l’architecture technique centrale de Zcash.

Qu’est-ce que la preuve à divulgation zéro (ZKP) ? La protection de la vie privée de Zcash repose sur la technologie ZKP — permettant à un utilisateur de prouver au réseau que "cette transaction est valide" sans révéler ses détails. Orchard est le pool de confidentialité le plus récent et avancé de Zcash, utilisant le système de preuve Halo2.

Cause fondamentale de la faille : le problème réside dans une contrainte insuffisante dans le circuit Orchard, permettant à un attaquant d’introduire une entrée fausse dans une vérification elliptique, tout en la faisant passer.

En termes simples, c’est comme si la serrure d’un coffre-fort était conçue pour "vérifier la forme correcte de la clé", mais en raison d’une faille dans la logique de vérification, certaines clés mal formées peuvent aussi passer.

Signification de la "faille de robustesse" : dans un projet de preuve ZK comme Zcash, "la robustesse" (soundness) signifie que le système ne doit accepter que des transactions et états valides. La faille ici permet au système d’accepter des transactions qui devraient être rejetées.

Impact précis : cette faille est une vulnérabilité de robustesse dans le circuit Orchard Action du code halo2_gadgets. Si exploitée, elle pourrait permettre un double paiement dans le pool Orchard, mais grâce à la mécanique de "porte tournante" de Zcash protégeant la masse monétaire, il n’est pas possible d’inflationner directement la quantité totale de ZEC.

Signification historique de la découverte assistée par IA : Shielded Labs a révélé que Hornby, avec le modèle Opus 4.8 d’Anthropic et des outils IA personnalisés, a écrit un programme complet d’exploitation de la faille, qui a réussi à générer localement une quantité illimitée de ZEC falsifiés. En déployant cet outil sur le réseau principal, il serait possible de produire une quantité infinie de ZEC indétectables. C’est la première fois qu’un grand modèle IA est documenté pour avoir découvert et écrit un code d’exploitation pour une faille critique dans un protocole cryptographique, marquant une étape nouvelle en sécurité.

1.3 Réponse d’urgence : une gestion de crise exemplaire

La rapidité et la coordination de l’équipe Zcash sont remarquables.

Le processus complet, de la découverte à la correction, n’a duré que cinq jours.

Première étape — découverte de la faille (29-30 mai) : Le 29 mai 2026, Taylor Hornby découvre une faille grave de falsification dans le pool Orchard de Zcash. Il la divulgue de manière responsable au Zcash Open Development Lab (ZODL).

Deuxième étape — soft fork d’urgence (1er juin) : Un soft fork temporaire est activé au bloc 3 363 426, vers 2h00 UTC, désactivant toutes les opérations Orchard pour donner du temps aux développeurs pour corriger le code.

Troisième étape — hard fork NU6.2 (2 juin) : Le hard fork NU6.2 est activé au bloc 3 364 600, vers 00h05 heure de l’Est, avec le circuit corrigé, réactivant Orchard. La réponse, de la divulgation privée à l’activation finale, a duré environ cinq jours.

Pourquoi un hard fork ? La correction du circuit ZKP nécessite une nouvelle "clé de vérification fixée" (verifying key), qu’un soft fork ne peut pas fournir.

Coordination confidentielle : durant la réparation, l’équipe a délibérément gardé la faille secrète, en coordonnant discrètement avec les mineurs et exchanges pour éviter une exploitation malveillante avant le déploiement du patch. Cette pratique de "divulgation responsable" est une norme dans l’industrie, et cette fois, elle a été strictement respectée.

1.4 Incertitude du marché : le prix de la confidentialité

Le défi le plus profond de cet incident réside dans la caractéristique la plus fière de Zcash — la confidentialité.

Grâce à la conception de Orchard, du point de vue cryptographique, il est impossible de prouver si la faille a été exploitée avant sa correction.

En d’autres termes, "absence de preuve d’exploitation" ne signifie pas "absence d’exploitation".

Ce paradoxe fondamental remet en question la déclaration de la Fondation Zcash.

C’est pourquoi Shielded Labs propose une nouvelle mise à jour du réseau Zcash, permettant à quiconque de vérifier que l’offre de la cryptomonnaie n’a pas été secrètement augmentée. Cette étape dépasse la simple correction d’urgence du 3 juin.

Ce propos reflète aussi un paradoxe éternel des blockchains de confidentialité : plus la confidentialité est forte, plus il est difficile de prouver son innocence.

1.5 Précédents historiques et leçons pour l’industrie

Ce n’est pas la première fois que Zcash fait face à une faille cryptographique majeure.

En 2019, l’équipe a révélé une faille de falsification dans l’ancien pool Sprout, non détectée depuis des années. Là aussi, aucune exploitation connue n’a été rapportée, et le marché a réagi avec confiance plutôt qu’avec panique.

Cet incident soulève une réflexion plus large :

1. L’IA va transformer la sécurité et l’audit. La détection assistée par IA signifie que attaquants et défenseurs disposeront d’outils plus puissants. Des audits réguliers et fréquents avec l’IA deviendront la norme pour la sécurité des protocoles de haute valeur.

2. La contradiction entre "confidentialité" et "auditabilité" va s’accentuer. La tension entre régulateurs, utilisateurs et développeurs de protocoles sera amplifiée dans des incidents similaires. Trouver un équilibre entre protection de la vie privée et transparence en crise est un enjeu de long terme pour la sphère des cryptos confidentielles.

3. La capacité de réponse d’urgence est une compétence clé. La boucle complète, de la détection à la coordination privée, puis au soft fork et au hard fork en cinq jours, montre une capacité de collaboration mature. En comparaison, certains protocoles échouent à corriger rapidement des vulnérabilités en raison d’un manque de coordination, faisant de Zcash un modèle pour l’industrie.

4. La reconstruction de la confiance du marché prendra du temps. La volatilité à court terme reflète plus l’asymétrie d’information et l’émotion que la valeur fondamentale du protocole. Avant cet incident, le prix de ZEC avait déjà augmenté de plus de 16 fois depuis le point bas de juillet 2024, et la tendance de fond reste à confirmer.

Conclusion

L’incident de la faille Orchard de Zcash est une intersection de vulnérabilités techniques, de capacités IA, de gestion de crise et de psychologie du marché.

Il met en lumière les défis que doit relever la blockchain de confidentialité dans le monde réel : lorsque le bouclier cryptographique se fissure, la tension entre transparence et confidentialité se manifeste de façon immédiate.

La réparation est faite.

Mais le vrai défi est de voir si cet écosystème pourra, avant la prochaine faille, bâtir des défenses plus solides et des mécanismes de vérification plus fiables.