Réponse des cofondateurs de ZEC à la faille Orchard : aucune trace de vol pour le moment, le pool Orchard sera mis sous séquestre

Foresight NewsPublié le 2026-06-15Dernière mise à jour le 2026-06-15

Résumé

Les cofondateurs de Zcash répondent à la vulnérabilité découverte dans le module Orchard. Bien que l'exploitation de cette faille semble peu probable (en raison de sa haute complexité technique, de la réponse rapide des équipes et de l'absence de trace de vol), elle soulève plusieurs questions cruciales pour les utilisateurs. Premièrement, les actifs légitimes détenus dans Orchard devraient pouvoir être récupérés, à condition que la faille n'ait jamais été exploitée. Dans le cas contraire, une sortie anticipée de jetons frauduleux pourrait affecter les retraits. Deuxièmement, à cause de cette vulnérabilité, les utilisateurs ne peuvent actuellement pas vérifier de manière autonome que la masse monétaire totale de ZEC n'a pas été artificiellement augmentée. Cette capacité de vérification, essentielle à la confiance, sera rétablie grâce à la future mise à niveau Ironwood. Celle-ci gèlera définitivement le pool Orchard, n'autorisant que la sortie des actifs initialement déposés, garantissant ainsi qu'aucune création illicite de jetons ne pourra persister. Enfin, des audits approfondis menés par plusieurs équipes, assistés par des outils d'IA avancés, n'ont pour l'instant détecté aucune autre vulnérabilité de contrefaçon similaire dans le protocole. En résumé, bien que la situation semble contenue et que des mesures correctives sont en cours, la mise à niveau à venir est essentielle pour restaurer la pleine capacité des utilisateurs à auditer la supply de ZEC de manière indépe...


Rédigé par: Zooko Wilcox, Jason McGee

Traduit par: Luffy, Foresight News


Suite à la récente révélation d'une vulnérabilité de sécurité dans le module Orchard de Zcash, deux questions majeures préoccupent la communauté : le nombre total de tokens Zcash est-il anormal ? Les actifs des utilisateurs sont-ils sûrs ?


Les débats actuels mêlent plusieurs sujets distincts, rendant difficile pour beaucoup de comprendre l'impact réel de cette vulnérabilité sur les utilisateurs ordinaires. Cet article aborde ces questions et explique leurs implications une par une.


Cette faille dans Orchard soulève quatre interrogations clés :


  1. La vulnérabilité a-t-elle été exploitée par des pirates ?
  2. Les actifs légitimes déposés dans Orchard peuvent-ils être récupérés ?
  3. Les utilisateurs peuvent-ils vérifier par eux-mêmes que le nombre total de tokens Zcash n'a pas été augmenté artificiellement ?
  4. Comment s'assurer que le projet ne contient pas d'autres vulnérabilités de fabrication similaires ?


La vulnérabilité a-t-elle été exploitée ?


Pour l'instant, il n'y a pas de conclusion définitive. Dans l'ensemble, la probabilité que la vulnérabilité ait été exploitée à des fins malveillantes semble faible, mais nous ne pouvons pas l'exclure à 100 %, pour trois raisons principales :


  • Pendant des années, de nombreux experts mondiaux en cryptographie et chercheurs en sécurité ont examiné le code de Zcash, et cette vulnérabilité est toujours restée indétectée. Elle a été découverte de manière proactive par Taylor Hornby de Shielded Labs, qui l'a recherchée spécifiquement, et non par accident. Il a utilisé des technologies d'IA pour la détection de sécurité et ses propres outils, spécialement conçus pour trouver ce type de défaut caché. L'exploitation de cette vulnérabilité présente un seuil élevé de difficulté, inaccessible aux non-spécialistes du codebase de Zcash.
  • Dès la divulgation de la faille, l'équipe de développement de Zcash a immédiatement collaboré avec les principaux pools miniers pour geler temporairement le pool de fonds Orchard et déployer un correctif, réduisant considérablement la fenêtre d'attaque possible pour les pirates.
  • La plupart des attaques dans le domaine des cryptomonnaies visent un profit rapide. Une fois une vulnérabilité rendue publique, les pirates cherchent généralement à monétiser immédiatement. Pour profiter de cette faille, un pirate devrait transférer les ZEC contrefaits hors du pool de fonds Orchard et les convertir en d'autres actifs, opérations qui laissent généralement des traces. Si la vulnérabilité avait déjà été exploitée, des preuves auraient dû émerger. Tout au long de l'histoire de l'industrie, les opérations des pirates suivent généralement un modèle de « frappe et fuite rapide », sans tentative de se cacher pendant des mois, voire des années.


Les actifs légitimes dans Orchard peuvent-ils encore être récupérés ?


Nous pensons que oui, à condition que la vulnérabilité n'ait jamais été exploitée. Si cette hypothèse est correcte, tous les actifs légitimes des utilisateurs stockés dans Orchard pourront être transférés sans problème.



Inversement, si un pirate avait déjà exploité la faille pour créer des tokens frauduleux et les avait injectés dans le pool de fonds, les canaux de transfert existants limiteraient le montant total pouvant être retiré. La limite maximale de sortie serait égale au montant initial de tokens légitimement déposés. Dans ce scénario, si les tokens frauduleux étaient retirés en premier, certains utilisateurs pourraient ne pas pouvoir récupérer l'intégralité de leurs actifs légitimes.



Nous estimons que ce scénario extrême a une faible probabilité de se produire. Si des inquiétudes persistent, il est possible de transférer ses actifs hors du pool Orchard. Cependant, avant de le faire, il est important de comprendre les risques potentiels liés aux différentes méthodes de retrait :


  • Transfert vers une adresse publique (adresse t) : Le montant et l'heure de la transaction seront entièrement publics, et les actifs seront publiquement associés à cette adresse, entraînant une perte totale de la vie privée.
  • Transfert vers le pool de confidentialité Sapling : Le montant et l'heure de la transaction seront toujours enregistrés, mais les actifs ne seront pas liés à une adresse spécifique ou à l'historique des transactions, offrant une meilleure confidentialité qu'une adresse publique. Il est important de noter que Sapling repose sur une cérémonie d'initialisation de confiance réalisée en 2018, ce qui constitue en soi un risque supplémentaire.
  • Portefeuilles : Parmi les principaux portefeuilles autodétenus, seuls YWallet et Zkool prennent en charge le pool Sapling.
  • Autres portefeuilles ou plateformes de custodie : Des erreurs de manipulation, des dysfonctionnements logiciels, des contrôles de risque de la plateforme et d'autres problèmes imprévus peuvent également survenir.


Dans l'ensemble, ces risques sont gérables. Compte tenu de l'hypothèse selon laquelle la vulnérabilité n'a probablement pas été exploitée, laisser ses actifs dans le portefeuille de confidentialité d'origine est un choix prudent. Si vous pouvez garantir la sécurité de l'opération, transférer vos actifs est également une option. Chacun peut décider en fonction de sa situation.


Les utilisateurs peuvent-ils vérifier par eux-mêmes que le nombre total de Zcash n'a pas été augmenté ?


Pour le moment, ce n'est pas possible. En raison de l'existence de cette vulnérabilité, les utilisateurs ordinaires ne peuvent pas vérifier de manière indépendante si le nombre total de tokens dans les pools de confidentialité actuels a été artificiellement gonflé.



Cependant, la mise à niveau réseau Ironwood prévue par le projet résoudra ce problème. La logique est la suivante :



Cette mise à niveau fermera définitivement le pool Orchard, empêchant tout nouveau dépôt d'actifs. Les tokens dans le pool ne pourront plus y circuler en interne, et tous les actifs devront être retirés via les canaux existants. Or, le montant total pouvant être retiré via ces canaux est strictement égal au nombre de tokens légitimement déposés à l'origine, empêchant ainsi à la racine tout retrait excédentaire de tokens.


Une fois la mise à niveau terminée, toute personne exécutant un nœud pourra vérifier que le nombre total de tokens est conforme. Même s'il y avait eu des tokens frauduleux auparavant, ils ne pourraient plus circuler dans le pool Orchard, ni augmenter artificiellement le nombre total de tokens en circulation. Les utilisateurs n'auront pas à spéculer sur les actions potentielles d'un pirate ou d'autres utilisateurs ; le protocole lui-même garantira l'absence de création excessive de tokens.


Ce point est crucial. La crédibilité à long terme de Zcash repose sur la capacité des utilisateurs à vérifier de manière autonome le nombre total de tokens. La mise à niveau Ironwood restaurera cette capacité pour les utilisateurs.


Comment s'assurer que le projet ne contient pas d'autres vulnérabilités de fabrication de tokens ?


À ce stade, nous ne pouvons pas donner une réponse absolue, mais nous avons des raisons de croire qu'il n'existe pas d'autres vulnérabilités de ce type.


Shielded Labs, en collaboration avec plusieurs équipes, a mené un audit complet du protocole Zcash, en se concentrant spécifiquement sur la recherche de vulnérabilités liées à la fabrication de tokens. Lors de cet audit, l'équipe a également utilisé le modèle d'intelligence artificielle Mythos d'Anthropic, qui n'est pas encore officiellement publié, pour aider à la détection. Nous publierons ultérieurement un article détaillant le processus et les résultats de cet audit.


Jusqu'à présent, l'équipe n'a découvert aucune nouvelle vulnérabilité de fabrication. Cet audit a réuni des techniciens expérimentés, des équipes de sécurité spécialisées et des outils d'analyse IA avancés, ce qui nous rend encore plus confiants qu'il n'existe actuellement aucune autre vulnérabilité critique non divulguée de ce type.


Parallèlement, nous collaborons avec des partenaires tels que le projet Tachyon pour mener des tests supplémentaires, renforçant ainsi les défenses de sécurité. Les progrès dans ce domaine seront également communiqués ultérieurement.


Conclusion


Cette faille dans Orchard soulève quatre questions fondamentales : la vulnérabilité a-t-elle été exploitée, les actifs légitimes peuvent-ils être récupérés, le nombre total de tokens peut-il être vérifié, et existe-t-il d'autres vulnérabilités de fabrication.


Sur la base des résultats actuels de l'audit, nous estimons qu'il est peu probable que la vulnérabilité ait été exploitée auparavant. Par conséquent, les actifs des utilisateurs sont sûrs et le nombre total de tokens est actuellement normal. Après des inspections répétées par plusieurs équipes indépendantes, nous sommes également de plus en plus convaincus qu'il n'existe actuellement pas d'autres vulnérabilités de fabrication non divulguées dans le projet.


Cependant, un point reste incontournable : les utilisateurs ne peuvent pas encore vérifier de manière autonome le nombre total de tokens. La prochaine mise à niveau réseau résoudra définitivement ce problème. Après la mise à niveau, le pool Orchard sera définitivement fermé, permettant aux utilisateurs de vérifier de manière indépendante le nombre total de tokens, sans avoir à se demander si une fabrication de tokens a pu se produire.

Questions liées

QL'article mentionne que la vulnérabilité Orchard dans Zcash a soulevé plusieurs préoccupations. Quelle est l'une des questions clés abordées concernant la sécurité des actifs des utilisateurs ?

AUne des questions clés est de savoir si les actifs légitimes déposés dans le bassin Orchard peuvent être retirés normalement. Les auteurs estiment que oui, à condition que la vulnérabilité n'ait jamais été exploitée.

QSelon les auteurs, quelles sont les principales raisons qui rendent l'exploitation malveillante antérieure de la vulnérabilité Orchard improbable ?

ATrois raisons principales sont avancées : 1) La vulnérabilité était très difficile à trouver et a été découverte proactivement par un expert. 2) L'équipe de développement a réagi rapidement pour geler le bassin et corriger le problème, réduisant la fenêtre d'attaque. 3) Aucune trace d'exploitation pour un gain rapide (comme la conversion de ZEC falsifiés) n'a été observée, ce qui est typique des attaques dans la cryptographie.

QQue se passerait-il pour les retraits si des jetons falsifiés avaient déjà été introduits dans le bassin Orchard par un pirate ?

ASi des jetons falsifiés avaient été introduits, le mécanisme de retrait limiterait le montant total pouvant être retiré au montant initial légitimement déposé. Dans ce scénario, si les jetons falsifiés étaient retirés en premier, certains utilisateurs pourraient ne pas pouvoir récupérer la totalité de leurs actifs légitimes.

QComment le projet Zcash prévoit-il de restaurer la capacité des utilisateurs à vérifier de manière indépendante l'offre totale de jetons (le total supply) ?

ALa future mise à niveau du réseau, appelée Ironwood, résoudra ce problème. Elle fermera définitivement le bassin Orchard aux nouveaux dépôts et aux transferts internes. Tous les actifs ne pourront être retirés que via les canaux existants, dont le plafond de retrait est strictement égal au montant des dépôts légitimes initiaux. Ainsi, toute exécution d'un nœud permettra de vérifier que l'offre totale est conforme.

QQuelles mesures ont été prises pour s'assurer qu'aucune autre vulnérabilité de falsification de jetons similaire n'existe dans le protocole Zcash ?

AShielded Labs, en collaboration avec d'autres équipes, a mené un examen complet du protocole Zcash spécifiquement pour rechercher ce type de vulnérabilités. Ils ont utilisé des outils avancés, y compris un modèle d'IA (Mythos d'Anthropic) et des vérifications manuelles par des experts. Aucune nouvelle vulnérabilité de ce type n'a été trouvée. Des vérifications supplémentaires sont également en cours avec des partenaires comme le projet Tachyon.

Lectures associées

Kraken Prévoyait des Futures Perpétuels Régulés par la CFTC pour les Traders Professionnels Américains

Kraken prévoit de lancer des contrats à terme perpétuels régulés par la CFTC à destination des traders professionnels éligibles aux États-Unis. Ces produits, qui ne disposent pas de date d'expiration et utilisent des paiements de financement réguliers, seront proposés via la plateforme de dérivés Bitnomial, acquise par Kraken, et intégrés à l'interface Kraken Pro. Aux États-Unis, l'accès à ce type de produits dérivés, omniprésents sur les marchés cryptos internationaux, a été limité en raison de contraintes réglementaires. Cette initiative vise donc à combler cette lacune en offrant une voie régulée et nationale pour accéder à ces instruments essentiels à la liquidité et à la découverte des prix sur les marchés des cryptomonnaies. Les détails clés à surveiller concernent les critères d'éligibilité des traders, la conception des contrats, les actifs supportés, les conditions de marge et le développement de la liquidité à leur lancement. Le succès de ce lancement pourrait potentiellement ouvrir la voie à davantage de produits perpétuels régulés sur le marché américain.

bitcoinistIl y a 4 h

Kraken Prévoyait des Futures Perpétuels Régulés par la CFTC pour les Traders Professionnels Américains

bitcoinistIl y a 4 h

Début de Warsh : le président de la Fed le plus au fait du Crypto de l'histoire apportera-t-il des surprises ou des chocs au marché ?

**Résumé :** Kevin Warsh, nouveau président de la Réserve fédérale américaine, s'apprête à tenir sa première conférence de presse monétaire. Sa nomination est historique : il est le premier président de la Fed à détenir personnellement des actifs numériques (investissements indirects dans Solana, dYdX, etc.), montrant une compréhension unique du secteur. Son dilemme est majeur : il doit faire face à une résurgence de l'inflation, qui exige une politique monétaire stricte (position "de faucon"), tout en répondant aux pressions politiques pour des baisses de taux. Parallèlement, son attitude envers les crypto-actifs diffère fondamentalement de celle de son prédécesseur. Il ne les considère pas comme de simples actifs spéculatifs, mais plutôt comme un "bon policier" pour la politique économique et une composante de la compétitivité américaine. Son impact potentiel sur le marché crypto s'articule autour de trois axes : 1. Un changement de paradigme réglementaire, passant de la prévention à l'intégration et à l'innovation. 2. Une reprixation des actifs liée aux taux d'intérêt, où sa clarté de communication pourrait réduire la prime d'incertitude. 3. Une légitimation accrue pouvant attirer les capitaux institutionnels traditionnels. Deux scénarios principaux sont envisagés pour sa première intervention : * **Scénario "Surprise"** : Un ton modéré ("de colombe") sur les taux combiné à des signaux favorables à l'innovation numérique pourrait booster le marché. * **Scénario "Choc"** : Un message excessivement restrictif sur les taux pourrait entraîner une vente généralisée des actifs risqués, y compris les cryptos. Bien qu'il ait dû vendre ses actifs crypto pour des raisons d'éthique, la compréhension intrinsèque de Warsh pour la technologie blockchain pourrait, à long terme, poser les bases d'une intégration plus structurelle des actifs numériques dans le système financier.

marsbitIl y a 4 h

Début de Warsh : le président de la Fed le plus au fait du Crypto de l'histoire apportera-t-il des surprises ou des chocs au marché ?

marsbitIl y a 4 h

XRP Ledger Lance le Rebranding XRPld Avec la Mise à Niveau Version 3.2.0

La version 3.2.0 du XRP Ledger (XRPL) est désormais disponible, introduisant une refonte majeure incluant le changement de nom du logiciel principal de « rippled » à « xrpld ». Cette mise à niveau se concentre principalement sur les améliorations des performances, de la sécurité et de l'évolutivité de l'infrastructure sous-jacente, plutôt que sur de nouvelles fonctionnalités utilisateur. Les principales avancées incluent des optimisations de mémoire pouvant réduire jusqu'à 40% l'utilisation de la mémoire serveur. Sur le plan de la sécurité, la modification `fixCleanup3_2_0` renforce plusieurs modules, notamment les coffres-forts à actif unique, le protocole de prêt, les échanges décentralisés et les jetons multi-usages. De nouveaux contrôles d'invariance garantissent la cohérence du registre après la suppression de comptes. Pour les développeurs, la mise à jour permet désormais de récupérer des informations sur les définitions du protocole et du serveur XRPL sans nécessiter de connexion active, facilitant ainsi la création de portefeuilles, d'explorateurs de blockchain et d'APIs. En termes d'évolutivité et de stabilité, les améliorations comprennent des tailles de bloc configurables, un stockage de base de données optimisé via nuDB, et le support optionnel de TLS/mutual TLS pour le serveur gRPC. Le port de peering par défaut est également passé du 51235 au 2459. Divers correctifs ont été apportés aux fonctions liées aux Market Makers Automatisés, aux paiements, aux séquestres de jetons et aux carnets d'ordres. Une note importante : les invariants de transaction ont été temporairement désactivés dans la v3.2.0 en raison d'un impact sur les performances, mais cela ne présente pas de risque pour la sécurité.

TheNewsCryptoIl y a 4 h

XRP Ledger Lance le Rebranding XRPld Avec la Mise à Niveau Version 3.2.0

TheNewsCryptoIl y a 4 h

L'AGI n'est pas l'arrivée, nouveau document de DeepMind : Vers l'ASI, le véritable progrès de l'IA ne fait que commencer

Si l'intelligence artificielle générale (IAG) était atteinte demain, quelle serait la prochaine étape ? Une étude de Google DeepMind suggère que l'IAG n'est pas un point final, mais une étape vers une superintelligence artificielle (ISA) dépassant les collectifs d'experts humains. L'étude distingue trois concepts : l'IAG (niveau médian humain), l'ISA (supérieure aux meilleurs collectifs humains dans presque tous les domaines) et l'IA universelle (limite théorique). Elle propose quatre voies potentielles vers l'ISA : 1. **Extension des ressources** : augmentation de la puissance de calcul, des données et des modèles. 2. **Évolution algorithmique** : améliorations incrémentales ou nouveaux paradigmes (apprentissage continu, utilisation d'outils, modèles du monde). 3. **Auto-amélioration récursive** : des IA plus performantes conçoivent la génération suivante, créant une boucle de rétroaction positive. 4. **Coordination multi-agents** : des systèmes IAG collaborant atteignent une intelligence collective supérieure. L'étude identifie six principaux goulets d'étranglement : 1. **Le mur des données** : les données humaines de haute qualité pourraient s'épuiser. 2. **Pressions économiques et ressources naturelles** : coûts énergétiques et matériels. 3. **Limites des paradigmes neuronaux actuels** : problèmes d'apprentissage continu, de raisonnement robuste, d'hallucinations. 4. **Difficulté croissante de la recherche**. 5. **Barrières à l'abstraction** : difficulté à former de nouveaux concepts fondamentaux. 6. **Régulation, gouvernance et réaction sociale**. Un défi crucial est l'évaluation des capacités de l'IA au-delà du niveau humain, nécessitant de nouveaux benchmarks. L'étude conclut que la progression vers l'ISA reste incertaine, soumise à des contraintes physiques et de ressources, et appelle à un effort de recherche interdisciplinaire pour mieux anticiper cette évolution.

marsbitIl y a 5 h

L'AGI n'est pas l'arrivée, nouveau document de DeepMind : Vers l'ASI, le véritable progrès de l'IA ne fait que commencer

marsbitIl y a 5 h

Kraken Lance des Perpétuelles Pré-IPO pour OpenAI et Anthropic avec un Effet de Levier Jusqu'à 5x

Kraken élargit son offre de produits dérivés en lançant des contrats perpétuels pré-IPO sur OpenAI et Anthropic, permettant aux traders éligibles de prendre des positions longues ou courtes sur ces sociétés privées d'intelligence artificielle avant leur introduction en bourse. Ces produits offrent un effet de levier allant jusqu'à 5x. Ces contrats "pre-IPO perps" diffèrent des perpétuels crypto traditionnels car ils s'exposent à des entreprises privées, dont l'évaluation est moins transparente et dépend de tours de financement, de transactions secondaires et des anticipations de calendrier d'IPO. Cette complexité rend la gestion des risques plus délicate, d'autant plus avec l'effet de levier. Ce lancement illustre la tendance des plateformes de trading crypto à s'étendre au-delà des actifs numériques pour offrir une exposition à des marchés alternatifs, comme les entreprises privées, habituellement difficiles d'accès. Bien que cela ouvre de nouvelles opportunités de spéculation sur des thèmes d'investissement porteurs comme l'IA, cela soulève également des questions sur la protection des investisseurs, la liquidité et la source des prix. Kraken met en garde les traders sur les risques spécifiques de ces produits et les invite à bien comprendre l'exposition sous-jacente avant d'utiliser l'effet de levier.

bitcoinistIl y a 6 h

Kraken Lance des Perpétuelles Pré-IPO pour OpenAI et Anthropic avec un Effet de Levier Jusqu'à 5x

bitcoinistIl y a 6 h

Trading

Spot
Futures

Articles tendance

Comment acheter ZEC

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Zcash (ZEC) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Zcash (ZEC).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Zcash (ZEC)Après avoir acheté vos Zcash (ZEC), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Zcash (ZEC)Tradez facilement Zcash (ZEC) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

363 vues totalesPublié le 2024.12.12Mis à jour le 2026.06.02

Comment acheter ZEC

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de ZEC (ZEC) sont présentées ci-dessous.

活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow