Le 5 juin, Zooko Wilcox, le fondateur de Zcash, a publié un long et rare compte-rendu de sécurité.
L'article révèle que le chercheur en sécurité Taylor Hornby a découvert le 29 mai une grave vulnérabilité de contrefaçon dans Orchard, la dernière génération de pools de confidentialité de Zcash. Un attaquant pourrait construire une transaction qui ne devrait normalement pas passer la validation, générant ainsi des ZEC contrefaits, illimités et indétectables au sein du pool Orchard.
Il ne s'agit pas d'un risque purement théorique. Taylor a déjà écrit un programme d'exploitation complet dans un environnement de test local, générant effectivement des ZEC contrefaits. Si un programme identique était déployé sur le réseau principal, un attaquant pourrait théoriquement générer une quantité illimitée d'actifs contrefaits dans son propre portefeuille sur le réseau principal.
Après la divulgation de la nouvelle, le ZEC a chuté de plus de 30%. Les données de CoinMarketCap montrent que le ZEC est tombé à un plus bas de 408,39 USD en 24 heures, soit une baisse d'environ un tiers par rapport au plus haut simultané de 610,47 USD. Malheureusement, il s'agissait de l'un des rares actifs du monde des cryptomonnaies récemment à offrir un excellent effet de richesse, porteur d'un narratif solide soutenu par d'innombrables figures influentes, maintenant brisé par cette faille.
Si l'on ne regarde que le résultat, cela ressemble à un autre incident de sécurité cryptographique familier : une vulnérabilité est découverte, les développeurs la corrigent en urgence, le marché panique.
Mais l'aspect vraiment délicat de l'incident Orchard est qu'alors que la faille a été corrigée, la communauté Zcash ne peut pas répondre directement à une autre question plus sensible :
Au cours des quatre dernières années, quelqu'un a-t-il déjà exploité cette vulnérabilité ?
Quatre jours de réparation d'urgence, Orchard temporairement à l'arrêt
Orchard est le nouveau protocole de paiement confidentiel de Zcash, activé en 2022, et l'un des principaux pools de confidentialité utilisés actuellement par Zcash. Les utilisateurs peuvent masquer leurs soldes, les montants des transactions et les flux de fonds, tout en prouvant au réseau via des preuves à connaissance nulle que la transaction respecte les règles.
Selon la chronologie divulguée par Zooko, Shielded Labs et la communauté Zcash, Taylor a détecté une anomalie lors d'une revue de sécurité ciblée du circuit Orchard le 29 mai, et a immédiatement divulgué la vulnérabilité en privé au Zcash Open Development Lab (ZODL). Shielded Labs est une organisation indépendante de soutien à l'écosystème Zcash, basée en Suisse et fonctionnant sur dons, participant depuis longtemps au développement du protocole, à la sécurité et à la durabilité du réseau Zcash, et n'est affiliée ni à la Zcash Foundation ni au ZODL.
Les ingénieurs du ZODL ont confirmé l'existence réelle du problème en quelques heures après avoir reçu le rapport et ont commencé à chercher une solution de correction. Étant donné que la divulgation publique directe d'un correctif de code aurait pu révéler le principe de la vulnérabilité, l'équipe a d'abord choisi de désactiver temporairement Orchard : interdire la création de nouvelles sorties Orchard, ainsi que la dépense des fonds déjà existants dans Orchard.
Après la coordination des développeurs, mineurs, opérateurs de nœuds, plateformes d'échange et fournisseurs d'infrastructure pour la mise à niveau, un soft fork d'urgence est entré en vigueur le 2 juin. Ensuite, Zcash a procédé à une mise à niveau par hard fork pour mettre à jour la clé de vérification du circuit Orchard, et a restauré la fonctionnalité Orchard le 3 juin. Les adresses transparentes et le pool de confidentialité Sapling ont pu continuer à fonctionner pendant cette période.
De la divulgation de la vulnérabilité à la complétion de la correction, l'ensemble du processus n'a pris que quelques jours. En termes de vitesse de réponse d'urgence, il s'agit d'une gestion déjà assez réussie.
Mais le marché ne s'est pas calmé après la correction de la faille, car celle-ci résout l'avenir, et non le passé.
Ce que le marché craint, ce n'est pas qu'une attaque puisse encore survenir, mais qu'elle ait peut-être déjà eu lieu
Les incidents de sécurité ordinaires ont généralement une échelle de pertes relativement claire. En cas de vol de contrat intelligent, on peut tracer sur la chaîne combien d'actifs l'attaquant a transférés ; si un pont inter-chaînes présente une vulnérabilité, on peut également comptabiliser les flux de fonds et les adresses affectées.
L'incident Orchard est différent.
Selon les explications de Shielded Labs, cette vulnérabilité peut être exploitée pour générer des ZEC contrefaits, illimités et indétectables, au sein même d'Orchard. En raison de la nature confidentielle d'Orchard lui-même, il est impossible pour des observateurs extérieurs de prouver de manière certaine, uniquement par des méthodes cryptographiques, si quelqu'un a exploité cette voie d'attaque avant la correction de la faille.
Cela signifie que le marché est confronté non pas à un chiffre de pertes déjà déterminé, mais à une incertitude difficile à quantifier :
Si quelqu'un a réellement découvert et exploité la faille par le passé, alors des ZEC contrefaits existent-ils déjà dans Orchard ? Si c'est le cas, quel est leur volume exact ? Ces actifs sont-ils toujours dans le pool confidentiel ? Ont-ils déjà été écoulés progressivement via des transactions normales ?
Plus important encore, cette fenêtre de risque n'est pas apparue seulement le 29 mai. Shielded Labs indique que cette vulnérabilité existait depuis l'activation d'Orchard en mai 2022, jusqu'à sa correction d'urgence en juin 2026. En d'autres termes, le problème était latent depuis près de quatre ans.
Ce que le marché craint vraiment, ce n'est pas ce qui s'est passé entre le 29 mai et le 2 juin, mais si des anomalies impossibles à observer directement se sont déjà produites au cours des quatre dernières années.
C'est aussi la raison centrale de la chute de plus de 30% du ZEC.
Ce que le marché vend, ce n'est pas seulement une vulnérabilité, mais une réévaluation de la crédibilité de l'offre.
Comment une omission de contrainte mathématique a évolué en un risque d'« émission infinie »
À la vue des mots « vulnérabilité d'émission infinie », notre première réaction est de penser qu'un pirate a obtenu des privilèges d'administrateur, ou a acquis une sorte de porte dérobée du protocole.
La réalité est plus fondamentale.
La sécurité d'Orchard repose sur un circuit de preuve à connaissance nulle (circuit Orchard). Les utilisateurs peuvent masquer le contenu spécifique d'une transaction, mais doivent prouver au réseau que leur transaction respecte les règles du protocole. L'une des règles les plus importantes est la conservation des actifs : une transaction ne peut pas créer de la valeur ex nihilo.
En termes simples, un utilisateur peut ne pas divulguer combien de ZEC il possède, ni à qui il en transfère combien, mais le réseau doit pouvoir confirmer que :
Les actifs dépensés proviennent bien d'entrées légitimes.
Le problème découvert par Taylor se situe dans une vérification de multiplication sur courbe elliptique au sein du circuit Orchard.
Shielded Labs le décrit comme un « élément sous-contraint » (under-constrained element), c'est-à-dire un élément du circuit dont les contraintes sont incomplètes. En raison de relations mathématiques non entièrement contraintes, un attaquant peut entrer des données erronées arbitraires dans le processus de multiplication sur courbe elliptique, mais le processus de vérification peut toujours retourner un succès.
En d'autres termes, l'attaquant n'a pas besoin de casser un algorithme cryptographique, ni de contrôler des nœuds du réseau.
Il lui suffit de construire un ensemble de données qui ne devraient normalement pas être valides, pour que le système croie à tort que la transaction satisfait toujours à la conservation des actifs.
Lorsque cette preuve erronée est acceptée par le réseau, les ZEC qui n'existaient pas auparavant peuvent alors être considérés comme des actifs légitimes, continuant à exister au sein d'Orchard.
C'est pourquoi Shielded Labs a utilisé une formulation extrêmement sévère :
unlimited, undetectable counterfeit ZEC (ZEC contrefaits, illimités et indétectables)
L'endroit vraiment dangereux n'est pas seulement « illimité », mais « indétectable ».
Entre les deux formulations, il existe une différence importante
Dans son annonce après la mise à niveau, la Zcash Foundation a déclaré qu'il n'existe actuellement aucune preuve que la vulnérabilité ait été exploitée, qu'aucune création de valeur non autorisée n'a été détectée, et que les fonds et la confidentialité des utilisateurs n'ont pas été affectés. L'annonce souligne également que le mécanisme existant de Turnstile Accounting de Zcash peut suivre les flux de valeur entre les différents pools de fonds et protéger la limite d'offre totale de 21 millions de ZEC.
Dans le même temps, Shielded Labs affirme clairement qu'il est impossible de prouver uniquement par cryptographie qu'Orchard n'a jamais contenu de ZEC contrefaits dans son histoire.
Ces deux affirmations semblent contradictoires, mais elles s'intéressent en réalité à deux problèmes différents.
Le Turnstile Accounting original de Zcash peut être compris comme un « tourniquet » entre différents pools de fonds. Le système peut compter combien d'actifs légitimes sont entrés au total dans Orchard, et limiter le volume d'actifs qui peuvent en sortir.
Supposons qu'Orchard ne contenait à l'origine que 1 million de ZEC légitimes. Même si un attaquant contrefait davantage d'actifs à l'intérieur, le système n'autorisera pas la sortie d'un volume d'actifs supérieur au volume légitime. Cela permet d'éviter que la limite d'offre totale de l'ensemble du réseau Zcash ne soit facilement dépassée.
Mais ce mécanisme ne peut pas prouver directement qu'Orchard n'a jamais contenu de fausses pièces.
Si les actifs contrefaits restent dans Orchard, ou remplacent progressivement les actifs réels dans la limite des quotas de sortie légitimes, le mécanisme de comptabilité original peut ne pas permettre de tirer une conclusion historique définitive.
Concernant ce projet cryptographique confidentiel, l'un des plus anciens, tout ce que nous pouvons savoir est qu'il n'existe actuellement aucune preuve d'émission anormale, mais la communauté ne peut toujours pas prouver directement qu'Orchard n'a jamais contenu d'actifs contrefaits.
C'est précisément le type de risque le plus difficile à gérer pour le marché.
Le problème n'est pas combien de fausses pièces ont été découvertes, mais que personne ne puisse confirmer avec certitude que de fausses pièces n'ont jamais existé.
Comment Zcash peut-il prouver à nouveau qu'il n'y a pas de fausses pièces dans Orchard ?
La correction de la vulnérabilité n'est que la première étape.
Shielded Labs a déjà indiqué qu'elle étudiait avec d'autres développeurs Zcash une nouvelle proposition de mise à niveau du réseau. La solution comprend le déploiement d'un nouveau pool de confidentialité et l'application forcée du Turnstile Accounting à tous les actifs migrés hors d'Orchard.
Cela équivaut à installer un nouveau tourniquet de migration pour Orchard.
Les actifs de l'ancien Orchard qui souhaitent entrer dans le nouveau pool confidentiel devront effectuer une migration selon des règles vérifiables. Le système pourra recompter le volume d'actifs légitimes sortants et déterminer s'il existe des ZEC supplémentaires qui ne peuvent pas être migrés normalement.
Si la mise à niveau se déroule avec succès, n'importe qui pourra vérifier l'intégrité de l'offre de Zcash, et prouver davantage qu'Orchard ne contient pas d'actifs contrefaits.
La signification de cette proposition ne se limite pas à corriger le code, mais à reconstruire la confiance du marché en Orchard.
Car dans un système confidentiel, la confiance ne vient pas de « nous pensons qu'aucune attaque n'a eu lieu », mais devrait venir de « n'importe qui peut vérifier qu'aucune attaque n'a eu lieu ».
Shielded Labs admet elle-même que la probabilité d'une exploitation malveillante antérieure est faible. La vulnérabilité était cachée depuis des années, très difficile à découvrir ; Taylor l'a cherchée activement dans le cadre d'un projet de recherche en sécurité spécialisé ; après la divulgation, l'écosystème a rapidement fermé la fenêtre d'attaque en quelques jours.
Mais Shielded Labs souligne également que les utilisateurs ne devraient pas se fier uniquement au jugement subjectif de l'équipe de développement.
Le marché a besoin de preuves.
Pourquoi une vulnérabilité cachée pendant quatre ans a-t-elle été découverte maintenant ?
L'incident Orchard comporte un autre détail facilement négligé par le marché.
Le 28 mai, Anthropic a publié Claude Opus 4.8.
Un jour plus tard, Taylor a découvert la vulnérabilité d'Orchard.
Selon les comptes-rendus de Zooko et Shielded Labs, Taylor a utilisé Opus 4.8 peu après sa sortie pour une revue hautement ciblée du circuit Orchard, et a découvert le problème le 29 mai. Ensuite, avec l'assistance d'Opus 4.8, il a écrit un programme d'exploitation complet, générant dans un environnement local des ZEC contrefaits, illimités et indétectables.
Ce détail mérite l'attention, non pas parce que l'IA peut déjà réaliser seule des audits cryptographiques.
Les informations publiques ne soutiennent pas une telle conclusion exagérée.
Taylor lui-même est un chercheur en sécurité expérimenté. Shielded Labs mentionne également qu'il a utilisé simultanément des méthodes de recherche en sécurité traditionnelles, un cadre d'outils d'IA sur mesure et des invites (prompts) spécialement conçues. Opus 4.8 était un outil important dans le processus de revue, mais pas le seul facteur.
Ce qui est vraiment notable, c'est que Taylor n'a pas utilisé Claude Mythos Preview, le modèle d'avant-garde d'Anthropic spécialement conçu pour la cybersécurité et dont l'accès est restreint, mais Opus 4.8, le modèle généraliste venant d'être publié publiquement.
Anthropic positionne Mythos Preview comme un modèle de pointe possédant des capacités significatives de découverte et d'exploitation de vulnérabilités. En raison des risques d'abus potentiels, Anthropic n'a pas ouvert ce modèle directement au public, mais fournit un accès via Project Glasswing à des partenaires sélectionnés.
En revanche, Opus 4.8 est un modèle généraliste accessible aux développeurs ordinaires. Anthropic souligne dans ses notes de version ses améliorations en analyse de code, exécution de tâches complexes et identification de défauts de code.
Cela fait de l'incident Orchard un signal encore plus digne d'attention :
La capacité à découvrir des vulnérabilités à haute valeur ajoutée se diffuse des modèles de sécurité spécialisés réservés à quelques-uns vers les modèles généralistes.
Un modèle généraliste publié publiquement depuis seulement un jour, guidé par un chercheur spécialisé, a déjà pu participer à l'examen d'un circuit complexe de preuve à connaissance nulle et aider à découvrir une vulnérabilité critique cachée depuis près de quatre ans.
Cela ne signifie pas que les experts en cryptographie ne sont plus importants.
Au contraire, l'expérience de Taylor, le choix de la cible de revue et sa capacité à valider les sorties du modèle restent au cœur de l'ensemble du processus.
Mais la combinaison de l'expert et de l'IA réduit significativement le coût de découverte de vulnérabilités complexes.
La faille est fermée, mais le marché attend toujours une réponse
Pour Zcash, la fenêtre d'attaque la plus urgente est fermée.
La fonctionnalité Orchard est restaurée, le circuit de vérification est mis à jour, et il n'existe actuellement aucune preuve que la vulnérabilité ait été exploitée à des fins malveillantes.
Mais la chute de plus de 30% du ZEC montre que ce qui préoccupe le marché n'est pas seulement si le code a été corrigé.
Le marché attend toujours une réponse plus radicale :
Au cours des quatre dernières années, y a-t-il eu oui ou non des ZEC contrefaits dans Orchard ?
Si la nouvelle mise à niveau du pool de confidentialité et du Turnstile Accounting peut être mise en œuvre avec succès, la communauté aura finalement l'occasion de prouver l'intégrité de l'offre et de rétablir la confiance du marché.
Mais avant que cette preuve ne soit apportée, l'incident Orchard conserve un suspense qui ne peut être facilement contourné :
Ces ZEC contrefaits, qui pouvaient théoriquement être créés à l'infini, n'ont-ils vraiment jamais existé, ou ont-ils déjà été cachés dans un lieu que personne ne pouvait voir directement ?
