Penurunan tajam Zcash (ZEC)

Kerentanan kritis dalam kolam terlindung Orchard Zcash berpotensi memungkinkan penyerang membuat jumlah ZEC palsu tak terbatas tanpa terdeteksi, menurut pengungkapan dari Zooko Wilcox, Jason McGee, dan peneliti keamanan Taylor Hornby. Celah ini ditemukan pada 29 Mei dan diperbaiki melalui respons darurat yang diselesaikan pada 2 Juni. Hornby, yang dipekerjakan khusus untuk mencari kelemahan protokol, menemukan bug ini dengan bantuan model AI Opus 4.8. Eksploit lengkap berhasil diuji dalam lingkungan regtest lokal, menghasilkan ZEC palsu tak terbatas. Masalah teknisnya terletak pada elemen sirkuit Orchard yang kurang terkendala, memungkinkan input palsu dimasukkan. Celah ini ada sejak aktivasi Orchard pada Mei 2022 hingga perbaikan darurat pada Juni 2026. Sifat privasi Orchard menyulitkan pembuktian kriptografis apakah kerentanan pernah dieksploitasi. Untuk mengatasi ketidakpastian ini, Shielded Labs sedang mengeksplorasi peningkatan jaringan yang akan menyebarkan kolam terlindung baru dan menerapkan akuntansi "turnstile" pada koin dari kolam Orchard yang ada. Tujuannya adalah memungkinkan verifikasi integritas pasokan ZEC. Pelajaran utama adalah perlunya verifikasi formal pada sirkuit untuk mencegah kegagalan serupa di masa depan. Nilai ZEC turun hampir 45% dalam 24 jam terakhir menyusul pengungkapan ini.

AI mulai terlibat lebih dalam dalam memahami, menganalisis, dan memverifikasi sistem kompleks, seperti yang ditunjukkan oleh Claude Opus 4.8 yang menemukan kerentanan dalam kode Zcash (ZEC). Ini menandakan pergeseran dalam keamanan kripto dari audit manual menuju era "Keamanan Rekursif", di mana AI membantu mempercepat siklus penemuan dan perbaikan kerentanan. AI tidak hanya meningkatkan efisiensi tetapi juga mengubah dinamika keamanan menjadi sistem berkelanjutan yang terus memantau dan berevolusi. Tantangan baru muncul karena kemampuan AI dapat digunakan baik oleh pihak pertahanan maupun penyerang, sehingga fokus bergeser ke kecepatan respons dan ketahanan sistem, bukan hanya menghilangkan risiko sepenuhnya. Perubahan ini menandai dimulainya transformasi di mana AI menjadi peserta aktif dalam meningkatkan keamanan ekosistem kripto.

Pendiri Zcash, Zooko Wilcox, menyatakan bahwa peningkatan Ironwood yang diusulkan akan memungkinkan pengguna memverifikasi pasokan ZEC yang beredar dengan cara yang tidak memerlukan kepercayaan (trustless) sejak hari pertama aktivasi. Pernyataan ini menanggapi kekhawatiran komunitas terkait kerentanan di kumpulan Orchard yang telah diperbaiki, tentang bagaimana pengguna dapat memastikan keutuhan pasokan tanpa bergantung pada pengembang atau auditor. Wilcox menekankan bahwa tujuan utama Ironwood bukanlah untuk membuktikan apakah pernah terjadi pemalsuan di Orchard, melainkan untuk memungkinkan verifikasi independen terhadap pasokan saat ini oleh siapa pun yang menjalankan node penuh. Setelah Ironwood aktif, transaksi yang membuat output baru di kumpulan Orchard lama akan ditolak. Dana harus keluar melalui mekanisme "turnstile" Zcash sebelum masuk ke kumpulan Ironwood baru. Mekanisme turnstile ini melacak jumlah ZEC yang sah masuk dan keluar dari suatu kumpulan. Wilcox menjelaskan bahwa Ironwood akan segera "mematikan" kelebihan ZEC apa pun di kumpulan Orchard (di atas ambang batas sah 4,5 juta ZEC) sejak blok pertama, sehingga tidak dapat beredar atau digunakan. Dengan demikian, pengguna dapat langsung memverifikasi bahwa pasokan ZEC yang beredar tidak melebihi 16 juta (dengan total akhir 21 juta), terlepas dari apakah pernah ada ZEC palsu atau tidak. Proposal ini juga berpotensi mengungkap bukti seiring waktu: jika tidak ada kelebihan ZEC yang mencoba meninggalkan kumpulan lama, itu mendukung pandangan bahwa tidak ada pemalsuan. Jika ada upaya, turnstile akan menolaknya sehingga pasokan tetap terjaga.

Zcash (ZEC) berusaha memulihkan kepercayaan pada jaringan berfokus privasinya setelah ketakutan akan eksploitasi besar memicu penjualan tajam di pasar. Harga ZEC sempat anjlok lebih dari 50% menyusul laporan tentang bug pemalsuan berbahaya dalam sirkuit bukti tanpa pengetahuan (zero-knowledge proof) Orchard. Kerentanan, yang ditemukan oleh peneliti keamanan menggunakan kerangka audit AI, berpotensi memungkinkan penyerang membuat token ZEC palsu. Pengembang merilis perbaikan darurat, dan harga ZEC pulih lebih dari 70%. Namun, kekhawatiran tetap ada karena fitur privasi Orchard menyulitkan verifikasi apakah token palsu pernah dicetak. Untuk mengatasi ini, Shielded Labs, The Zcash Foundation, dan mitra lainnya mengusulkan proposal "Ironwood". Tujuan utama Ironwood adalah memungkinkan setiap pengguna memverifikasi independen pasokan ZEC yang beredar. Proposal ini juga akan memblokir pencetakan koin baru di pool Orchard dan menerapkan mekanisme "turnstile" untuk pergerakan dana keluar. Sistem ini diharapkan dapat memberikan bukti apakah kerentanan pernah dieksploitasi selama insiden tersebut, sekaligus memperkuat protokol keamanan jaringan Zcash.

Pendiri Zcash (ZEC) merespons kerentanan keamanan yang ditemukan di modul Orchard, dengan fokus pada empat pertanyaan utama: apakah kerentanan telah dieksploitasi, apakah aset pengguna yang sah dapat ditarik, apakah pengguna dapat memverifikasi total pasokan ZEC tidak mengalami penambahan buatan, dan apakah ada kerentanan pemalsuan serupa lainnya. Berdasarkan investigasi, kemungkinan kerentanan ini telah dieksploitasi dianggap rendah. Alasannya termasuk kerumitan teknis yang tinggi untuk menemukan dan memanfaatkannya, respons cepat tim dengan membekukan sementara pool Orchard, dan tidak adanya bukti transaksi mencurigakan yang menunjukkan eksploitasi. Aset pengguna yang sah di Orchard diperkirakan dapat ditarik normal jika kerentanan belum dieksploitasi. Namun, jika sudah dieksploitasi, ada risiko beberapa aset sah tidak dapat ditarik penuh karena batas saluran penarikan. Pengguna yang khawatir dapat memindahkan asetnya ke alamat transparan (t-address) atau pool privasi Sapling, dengan mempertimbangkan trade-off privasi dan risiko lainnya. Saat ini, pengguna biasa belum dapat secara independen memverifikasi bahwa total pasokan ZEC tidak bertambah secara tidak sah karena adanya kerentanan ini. Namun, rencana peningkatan jaringan Ironwood akan menutup permanen pool Orchard. Setelah itu, siapa pun yang menjalankan node dapat memverifikasi bahwa tidak ada token yang dapat keluar melebihi jumlah yang awalnya disetor dengan sah, sehingga memulihkan kemampuan verifikasi mandiri pengguna. Pemeriksaan menyeluruh oleh Shielded Labs dan mitra, dibantu oleh alat AI canggih, belum menemukan kerentanan pemalsuan token lainnya. Tim semakin yakin bahwa tidak ada kerentanan berbahaya serupa yang masih tersembunyi. Kesimpulannya, berdasarkan analisis saat ini, aset pengguna dianggap aman dan tidak ada indikasi penambahan pasokan ZEC yang tidak sah. Peningkatan Ironwood yang akan datang diharapkan dapat secara permanen mengatasi masalah verifikasi pasokan ini.