Penulis: Ma He, Foresight News
Pada 5 Juni, pendiri Zcash, Zooko Wilcox, bersama Jason McGee dan Taylor Hornby merilis artikel panjang yang mengungkap secara rinci bahwa lapisan privasi terbaru proyek tersebut, Kolam Orchard, memiliki kerentanan keutuhan kritis yang dapat dieksploitasi untuk membuat ZEC palsu dalam jumlah tak terbatas di lingkungan tersembunyi.
Sebelumnya, ekosistem Zcash telah menyelesaikan perbaikan darurat melalui upgrade jaringan, namun setelah pengungkapan dampak rinci, harga ZEC mengalami fluktuasi hebat, bahkan pernah mengalami penurunan lebih dari 30% dalam satu hari, menyentuh level terendah sekitar 411 dolar.
Zcash adalah bintang mutlak di jalur privasi selama setengah tahun terakhir, sejak Maret tahun ini, melonjak dari sekitar 200 dolar hingga tertinggi 688 dolar. Termasuk pendiri bersama AllianceDAO Wang Qiao, pendiri Bankless David Hoffman, serta 'Raja Penggembar' Arthur Hayes pernah menyatakan sangat optimis dengan performanya.
Namun setelah kerentanan ditemukan, Arthur Hayes men-tweet bahwa ia telah menjual seluruh posisi ZEC-nya. Ia mengatakan, setelah membaca detail kerentanan dan mengamati ZEC mengalami koreksi 30%, ia memutuskan untuk menutup semua posisi dan mengambil keuntungan. Ia menyatakan akan terus mengevaluasi ulang, jika asumsinya terbukti salah di kemudian hari, ia akan mempertimbangkan untuk membeli kembali pada harga yang lebih rendah.
Jadi, apa yang sebenarnya terjadi dengan Zcash?
Singkatnya, Orchard adalah 'brankas privasi yang sepenuhnya tidak terlihat ke dalamnya' di Zcash, setelah orang-orang memasukkan uang ke dalamnya, pihak luar dan blockchain itu sendiri tidak tahu berapa banyak uang di dalamnya dan milik siapa. Kerentanan kali ini terletak pada 'kunci verifikasi' brankas ini — kunci ini seharusnya sangat ketat, hanya transaksi yang sah yang dapat melewati verifikasi. Namun karena sebuah batasan matematika yang ditulis tidak cukup ketat (setara dengan roda gigi kunci yang longgar), penyerang dapat memalsukan kunci yang terlihat sepenuhnya sah, menipu sistem, dan menciptakan ZEC baru dari ketiadaan di dalam brankas.
Peristiwa ini memberikan tantangan langsung terhadap narasi 'kepercayaan teknologi adalah nilai inti' di jalur koin privasi.
Sebagai rantai publik pertama yang menerapkan zk-SNARKs secara skala besar untuk transaksi privasi, Kolam Orchard Zcash sejak diaktifkan bersama upgrade NU5 pada Mei 2022, selalu dianggap sebagai versi evolusi yang lebih efisien dari Kolam Sapling, menampung banyak dana privasi. Kini, kerentanan yang ditemukan oleh peneliti keamanan dengan bantuan model AI terbaru, membuat seluruh industri meninjau kembali jurang antara teori dan praktik teknologi privasi.
Sumber Penemuan Kerentanan: Audit Berbantuan AI
Proses penemuan kerentanan penuh dengan drama.
April 2026, Shielded Labs mempekerjakan insinyur keamanan senior Taylor Hornby untuk melakukan penelitian keamanan berkelanjutan terhadap protokol Zcash, dengan tujuan menemukan masalah sebelum pelaku jahat.
28 Mei, Anthropic merilis model Opus 4.8. Keesokan harinya, Taylor menggunakan model tersebut dikombinasikan dengan metode tradisional, melakukan tinjauan yang sangat terarah terhadap sirkuit Orchard, menemukan masalah: terdapat kekurangan batasan dalam perkalian kurva elips di crate halo2_gadgets, memungkinkan penyerang memasukkan nilai palsu sembarang ke dalam operasi perkalian, namun verifikasi tetap dapat lolos. Ini berarti dapat membangun tindakan Orchard yang terlihat sepenuhnya valid — yaitu menghasilkan ZEC palsu di dalam Kolam Orchard, dan karena sifat privasi, tidak dapat dibedakan keasliannya di atas rantai.
Taylor segera mengungkap masalah kepada insinyur inti ZODL, dan insinyur ZODL mengonfirmasi keseriusan kerentanan dalam beberapa jam, memulai tanggapan darurat.
Pengumuman keamanan awal yayasan berusaha mengecilkan masalah, menggambarkannya dengan ringan sebagai 'risiko pengeluaran ganda', dan menjamin bahwa 'mekanisme revolving door melindungi total suplai tidak berubah, sama sekali tidak menyebabkan inflasi total suplai', mencoba menggunakan 'keamanan total suplai' untuk menstabilkan sentimen pasar, menutupi kebenaran kejam bahwa kemungkinan Kolam Orchard telah diisi air secara diam-diam, aset pengguna jujur diencerkan secara terselubung.
Pada 4 Juni, pernyataan pendiri Zooko dan lainnya baru menambahkan detail mematikan. Ia mengakui 'secara kriptografi tidak mungkin membuktikan apakah telah dieksploitasi sebelum perbaikan', dan mengungkapkan 'kemungkinan pemalsuan ZEC tak terbatas'. Justru kejujuran pendiri ini yang langsung merobos 'ilusi keamanan' yang dipertahankan yayasan sebelumnya, sehingga memicu penurunan panik di pasar.
Zooko
Karena jika penyerang, dalam beberapa tahun terakhir, telah menggunakan kerentanan untuk mencetak 1 juta ZEC palsu di Kolam Orchard, dan bergegas menariknya ke kolam transparan melalui revolving door sebelum perbaikan untuk dijual dan mengambil keuntungan, total suplai memang tidak mengalami inflasi, namun aset nyata pengguna di Kolam Orchard telah menguap secara diam-diam dan mengalami panen terarah. Begitu batas revolving door diumumkan minggu depan, Kolam Orchard akan menghadapi 'penarikan dana bank' terbesar dalam sejarah rantai publik privasi, aset pengguna yang mundur belakangan akan terkunci selamanya.
Di Era AI, 'Aman Jika Belum Ditemukan Kerentanan' Tidak Lagi Berlaku
Orchard sejak diaktifkan pada 2022, telah melalui audit keamanan bertahun-tahun oleh kriptografer top namun tetap memiliki bug, baru ditemukan setelah penelitian terarah yang menggabungkan alat AI terbaru. Ini memberikan peringatan bagi banyak skema privasi (termasuk proyek privasi ZK lainnya): konstruksi matematika yang 'sempurna' secara teori, dalam implementasi teknikal masih mungkin memiliki kelalaian.
Taylor Hornby dengan bantuan Anthropic Opus 4.8 dapat melokalisasi cacat Orchard dalam waktu sangat singkat, membuktikan bahwa AI dapat menjadi alat bantu yang kuat bagi peneliti topi putih, tetapi juga berarti penyerang dapat menggunakan alat serupa untuk menggali target bernilai tinggi lebih cepat.
Jika pihak proyek tidak dapat membangun mekanisme tinjauan keamanan yang berkelanjutan dan proaktif, jendela waktu dari penemuan kerentanan hingga dieksploitasi secara jahat akan menyempit drastis. Zcash kali ini berhasil mendahului karena mempersiapkan penelitian keamanan lebih awal,
namun bagi seluruh industri kripto, ini lebih seperti peringatan kolektif: dalam kompetisi serangan dan pertahanan keamanan yang digerakkan AI, segala ketergantungan pada psikologi untung-untungan 'aman jika belum ditemukan selama bertahun-tahun' tidak lagi berlaku. Hanya dengan menginternalisasi audit AI, verifikasi formal, dan kemampuan respons cepat sebagai praktik standar, protokol privasi benar-benar dapat bertahan dari uji tekanan era baru.
