Original | Odaily 星球日报(@OdailyChina)
Auteur | Asher(@Asher_ 0210)
Suite à la diffusion de cette nouvelle, le jeton ZEC de Zcash a rapidement plongé, avec une chute de plus de 30 % en peu de temps ; en début d'après-midi, les ventes n'ont pas cessé, la panique s'est propagée, et le prix est tombé aux alentours de 250 dollars, avec une baisse intrajournalière s'élargissant à plus de 50 %.
Le chercheur en sécurité Taylor Hornby, qui a découvert le problème le 29 mai, a validé la faille dans un environnement local, générant une version de test de ZEC falsifiés, démontrant ainsi qu'il s'agissait d'une voie d'attaque exploitable. Actuellement, les deux principales controverses autour de Zcash sont les suivantes : premièrement, des ZEC falsifiés ont-ils circulé dans le pool de confidentialité au cours des 4 dernières années ? Deuxièmement, comment l'équipe officielle peut-elle prouver qu'aucun ZEC falsifié n'est entré dans le pool, sachant que la difficulté de réfutation est immense.
D'où viennent les ZEC à "émission illimitée" ?
La sécurité d'Orchard (le "pool blindé" de protection de la vie privée de Zcash) repose sur le circuit de preuve à divulgation nulle de connaissance. La règle fondamentale est la conservation des actifs : chaque transaction de dépense doit provenir d'entrées légitimes, il est impossible de créer des ZEC à partir de rien. Les utilisateurs peuvent masquer leurs soldes et les montants des transactions, mais le système doit vérifier la légalité des transactions.
Taylor Hornby a découvert une contrainte incomplète (sous-contrainte) dans le circuit d'Orchard, permettant à un attaquant d'entrer des données qui ne devraient normalement pas être validées, tout en obtenant potentiellement une validation réussie. Autrement dit, sans besoin de permissions d'administrateur ou de contrôle des nœuds, et sans qu'il s'agisse d'une porte dérobée, si le système considère à tort une transaction comme légitime, des ZEC inexistants pourraient être enregistrés comme actifs légitimes au sein d'Orchard.
Shielded Labs l'a qualifié de "falsification illimitée et indétectable de ZEC".
La faille est réparée, mais les problèmes historiques demeurent
Les incidents de sécurité courants sont redoutés en raison des pertes importantes qu'ils peuvent causer, mais la crise actuelle de Zcash est particulièrement problématique car les pertes potentielles ne peuvent être directement quantifiées.
Si une attaque avait lieu sur la chaîne transparente, le marché pourrait au moins voir les adresses attaquées, les flux de fonds et les actifs affectés. Cependant, dans Orchard, les montants des transactions, les soldes et les chemins des fonds sont par conception masqués. Si des ZEC falsifiés ont un jour été présents dans le pool, il est très difficile pour l'extérieur de déterminer s'ils y sont toujours restés ou s'ils ont été progressivement retirés via des transactions normales.
Plus crucial encore, Orchard n'est pas une boîte noire complètement isolée. Les utilisateurs peuvent déplacer des actifs entre différents pools de fonds, permettant ainsi un mélange potentiel de vrais ZEC et de ZEC potentiellement falsifiés au sein du pool.
L'écosystème Zcash peut insister sur le fait qu'aucune preuve d'exploitation de la faille n'a été découverte et que la probabilité d'une utilisation malveillante est faible. Mais pour les traders, "aucune anomalie détectée" et "avoir prouvé qu'aucun incident ne s'est produit" ne sont pas la même chose.
C'est la raison principale de la chute continue du ZEC. Tant que la question de la présence potentielle de faux ZEC dans Orchard n'est pas prouvée, la crédibilité de l'offre de ZEC restera sous le feu des projecteurs.
Arthur Hayes vend ses positions, déclenchant une crise de confiance du marché
Suite à la révélation de la faille ZEC, la vente publique de ses positions par Arthur Hayes, co-fondateur de BitMEX, a amplifié la panique du marché.
Arthur Hayes a annoncé sur la plateforme X qu'il avait vendu toutes ses positions en ZEC. Hayes a expliqué qu'il avait pris connaissance de l'attaque la veille, mais n'avait pas réalisé son conflit avec son cadre narratif. La baisse de 30% du ZEC l'a amené à repenser sa position et à décider de prendre ses bénéfices sur ce portefeuille. Il a ajouté que même s'il considérait la probabilité d'une émission monétaire supplémentaire comme extrêmement faible, il ne pouvait pas prouver formellement son impossibilité au niveau cryptographique ; il réévaluera continuellement son jugement et si ses hypothèses s'avèrent fausses, il rachètera, espérant reconstruire une position à un prix inférieur ; la confidentialité est inestimable et il ne se formalisera pas de racheter à un prix plus élevé.
Cela a porté un coup sévère au ZEC. Ces derniers temps, Arthur Hayes était l'un des principaux promoteurs de la narration autour du ZEC. Son argument était la logique à long terme d'une réévaluation des actifs axés sur la confidentialité dans un contexte d'IA, de surveillance gouvernementale et d'expansion des grandes entreprises technologiques. Ainsi, sa vente ne se limite pas à une prise de bénéfices par un gros porteur, mais ressemble davantage à une dégradation publique de la narration actuelle du ZEC.
Lorsqu'un soutien de premier plan à la narration choisit de quitter le navire en premier, les positions longues soutenues par la conviction et les anticipations sont plus susceptibles de basculer collectivement vers la prise de bénéfices et la recherche de sécurité.
La communauté perd son calme, le ZEC passe d'un ajustement de prix à une crise de confiance
Sous l'influence probable de la vente d'Arthur Hayes, les discussions communautaires sur le ZEC sont rapidement passées de "faut-il acheter la baisse ?" à "peut-on encore lui faire confiance ?".
D'une part, la communauté a souligné à plusieurs reprises la gravité de la faille elle-même. Par rapport à la baisse à court terme, de nombreux utilisateurs sont plus préoccupés par le fait qu'une faille théoriquement capable de créer une quantité illimitée de fausses pièces ait pu rester latente dans Orchard pendant près de quatre ans. Pour eux, la chute des prix n'est que la surface ; ce qui ébranle réellement la confiance, c'est que l'hypothèse de sécurité la plus fondamentale de Zcash soit remise en question.
D'autre part, le processus de découverte de la faille assisté par l'IA a accru la méfiance. Taylor Hornby, avec l'assistance d'un outil d'IA, a examiné de manière ciblée le circuit d'Orchard, a finalement découvert la faille, écrit un programme d'exploitation et généré des ZEC falsifiés dans un environnement local. Bien que l'IA n'ait pas mené l'audit de manière autonome, ce que la communauté retient facilement est la narration selon laquelle "une faille critique existant depuis des années a été découverte avec l'aide de l'IA en un temps record", qui s'est rapidement propagée.
Cela a dirigé les critiques vers le système de développement et d'audit de Zcash. La communauté s'interroge : comment une faille existant depuis 2022 a-t-elle pu fonctionner sur le réseau principal pendant des années sans être détectée ? Si même le pool de confidentialité central peut souffrir de contraintes manquantes, comment les utilisateurs peuvent-ils encore faire confiance aux engagements de Zcash concernant l'offre et la sécurité de la confidentialité ?
Ainsi, cette baisse n'est plus seulement une prise de bénéfices. Tant que Zcash ne fournit pas de preuves plus convaincantes, personne n'est vraiment disposé à détenir du ZEC à long terme.
