Zcash retter kritisk fejl, der gjorde det muligt at udstede ubegrænset mængder falske ZEC, mens kursen styrtdykkede med 41 %

En forfalskningsfejl, der har været skjult siden 2022

Zcash-grundlæggeren Zooko Wilcox bekræftede, at sikkerhedsforskeren Taylor Hornby havde afdækket en sårbarhed i Orchard, netværkets primære privatlivspool, og afslørede den privat for ham den 29. maj. Fejlen kunne have været brugt til at skabe uopdagelige forfalskede ZEC-mønter, som netværket ville have accepteret som ægte, mens svindlen forblev usynlig inde i den beskyttede pulje.

Hornby nøjedes ikke med teorien, og med hjælp fra en kunstig intelligensmodel udtænkte han en komplet udnyttelse og genererede et ubegrænset antal forfalskede ZEC i lokale tests. Afsløringen sendte ZEC ned med 40 % på en enkelt dag, da udviklere efterfølgende afslørede, at fejlen havde været til stede siden Orchard-puljen blev lanceret i maj 2022 (hvor den havde været uopdaget i cirka fire år og overlevet gentagne revisioner af specialister, der aldrig opdagede den).

Da Orchard er et fuldt afskærmet system, havde afsløringen en usædvanlig bitter eftersmag, dvs. at der ikke findes nogen kryptografisk måde at bevise, at fejlen aldrig er blevet udnyttet. De samme privatlivsgarantier, der gør Zcash attraktivt for brugere, der ønsker fortrolige transaktioner, gør det også umuligt at revidere den beskyttede forsyning for falske mønter, der er præget, før patchen blev implementeret. I en gennemsigtig hovedbog som Bitcoin kan enhver verificere, at forsyningen overholder protokollens regler; i en beskyttet pool er netop denne sikkerhed det, der ofres for privatlivets fred.

Hvordan udviklerne reagerede

Hornby rapporterede problemet til Zcash Open Development Lab, som koordinerede en nødindsats på tværs af tegnebøger, børser og nodeoperatører, inden der blev udsendt en rettelse den 2. juni. I et detaljeret indlæg på Zcash-communityforummet gennemgik teamet sårbarheden og skitserede de næste trin, herunder forslag til at styrke verifikationen af udbuddet, så en lignende fejl kan opdages og inddæmmes langt hurtigere i fremtiden.

På trods af alvoren opfordrede udviklerne til ro, og Shielded Labs sagde, at de ikke var "overdrevent bekymrede" for, at der faktisk var sket forfalskning, idet de begrundede det med, at fejlen havde overlevet års gennemgang af nogle af verdens dygtigste kryptografer uden at blive fundet eller udnyttet.

Uanset hvad er timingen uheldig for en privatlivssektor, der har tilbragt store dele af 2026 i rampelyset. Bitcoin.com News rapporterede i sidste måned, at privatlivstokens var steget kraftigt i forbindelse med en global modreaktion mod finansiel overvågning, hvor ZEC var blandt de mest fremtrædende. Token var steget til over 600 dollar tidligere i cyklusen og havde på et tidspunkt overhalet Monero i markedsværdi, før Orchard-skandalen udslettede en del af disse gevinster.

Hvad fejlen betyder for ZEC-indehavere

For indehaverne var den umiddelbare omkostning prisen, da ZEC mistede cirka en tredjedel af sin værdi på en dag, hvilket udlignede en betydelig del af det opsving, der havde gjort det til et af årets bedst præsterende kryptoaktiver. Det sværere problem er omdømmet, da en privacy-coins hele salgstale hviler på matematisk sikkerhed, og en forsikring om, at "vi er rimeligt sikre på, at ingen har forfalsket", er svagere end de vandtætte garantier, som kategorien normalt reklamerer med over for købere.

Modargumentet er, at afsløringsprocessen fungerede som tiltænkt, da en uafhængig forsker fandt fejlen og rapporterede den, før der var bekræftet misbrug. Desuden har store netværk fra Bitcoin til Ethereum også været udsat for alvorlige fejl i fortiden (som alle blev opdaget og rettet, før de kunne udnyttes).

Prøven for Zcash er nu, om de planlagte opgraderinger af forsyningsverificeringen kan vende en skræmmende nær-miss til en gevinst i troværdighed i stedet for en varig plet.

Zcashs konkurrenter inden for privatlivsbeskyttelse red på den samme bølge af efterspørgsel i år, hvor ZEC og DASH førte an i et bredt opsving i sektoren, der skubbede den samlede markedsværdi kraftigt opad. Den institutionelle interesse var også stigende, idet Grayscale bevægede sig i retning af et reguleret ZEC-produkt.

Om Orchard-episoden bliver en fodnote eller et vendepunkt, vil afhænge af, hvad udviklerne leverer næste gang, og om markedet behandler en rettet, tilsyneladende uudnyttet fejl som et advarselsskud eller en grund til at vende ryggen til.