Zcash corrige une faille critique permettant la création illimitée de faux ZEC alors que le cours s'effondre de 41 %

• clés : </span></p>
• <ul>
• <li><span style="font-weight: 400;">Le chercheur Taylor Hornby a découvert le 29 mai une faille dans Orchard permettant de créer un nombre illimité de ZEC contrefaits.</span></li>
• <li><span style="font-weight: 400;">Le ZEC a chuté de plus de 40 % au cours des dernières 24 heures, les détenteurs s'interrogeant sur la présence éventuelle de fausses pièces dans le pool protégé.</span></li>
• <li><span style="font-weight: 400;">Les développeurs de Zcash ont corrigé le bug et proposé des mises à jour de vérification de l'offre afin de rétablir la confiance.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Une faille de contrefaçon cachée depuis 2022

Le fondateur de Zcash, Zooko Wilcox, a confirmé que le chercheur en sécurité Taylor Hornby avait découvert une vulnérabilité de contrefaçon dans Orchard, le principal pool de confidentialité du réseau, et la lui avait révélée en privé le 29 mai. Ce bug aurait pu être utilisé pour créer des ZEC contrefaits indétectables que le réseau aurait acceptés comme authentiques, tandis que la fraude restait invisible au sein du pool protégé.

Hornby ne s'est pas contenté de la théorie et, à l'aide d'un modèle d'intelligence artificielle, il a mis au point un exploit complet et généré un nombre illimité de ZEC contrefaits lors de tests locaux. Cette révélation a fait chuter le cours du ZEC de 40 % en une seule journée, les développeurs ayant par la suite révélé que la faille était présente depuis le lancement du pool Orchard en mai 2022 (restant indétectée pendant environ quatre ans et survivant à des audits répétés menés par des spécialistes qui ne l'avaient jamais repérée).

Orchard étant un système entièrement protégé, cette révélation a eu un impact particulièrement lourd : il n'existe aucun moyen cryptographique de prouver que ce bug n'a jamais été exploité. Les mêmes garanties de confidentialité qui rendent Zcash attrayant pour les utilisateurs souhaitant effectuer des transactions confidentielles rendent également impossible l'audit de l'offre protégée pour les fausses pièces frappées avant l'application du correctif. Dans un registre transparent comme celui de Bitcoin, n'importe qui peut vérifier que l'offre respecte les règles du protocole ; dans un pool protégé, c'est précisément cette certitude qui est sacrifiée au profit de la confidentialité.

Comment les développeurs ont réagi

Hornby a signalé le problème au Zcash Open Development Lab, qui a coordonné une réponse d'urgence entre les portefeuilles, les bourses et les opérateurs de nœuds avant de publier un correctif le 2 juin. Dans un message détaillé publié sur le forum communautaire de Zcash, l'équipe a présenté la vulnérabilité et décrit les prochaines étapes, notamment des propositions visant à renforcer la vérification de l'offre afin qu'une faille similaire puisse être détectée et contenue beaucoup plus rapidement à l'avenir.

Malgré la gravité de la situation, les développeurs ont appelé au calme, Shielded Labs se disant « pas trop inquiet » qu’une contrefaçon ait réellement eu lieu, arguant que le bug avait survécu à des années d’examen par certains des cryptographes les plus compétents au monde sans être découvert ni exploité.

Quoi qu'il en soit, le moment est mal choisi pour un secteur de la protection de la vie privée qui a passé une grande partie de l'année 2026 sous les feux de la rampe. Bitcoin.com News a rapporté le mois dernier que les tokens axés sur la confidentialité avaient connu une forte hausse dans un contexte de rejet mondial de la surveillance financière, le ZEC figurant parmi les plus performants. Le token avait dépassé les 600 $ plus tôt dans le cycle, dépassant à un moment donné le Monero en termes de capitalisation boursière, avant que la frayeur liée à Orchard n'efface une partie de ces gains.

Ce que ce bug signifie pour les détenteurs de ZEC

Pour les détenteurs, le coût immédiat a été le prix, le ZEC ayant perdu environ un tiers de sa valeur en une journée, effaçant ainsi une part significative d'une remontée qui en avait fait l'un des crypto-actifs les plus performants de l'année. Le problème le plus grave est d'ordre réputationnel, car tout l'argumentaire d'une cryptomonnaie axée sur la confidentialité repose sur une certitude mathématique, et une assurance du type « nous sommes raisonnablement convaincus que personne n'a contrefait » est moins solide que les garanties sans faille que cette catégorie vend habituellement aux acheteurs.

Le contre-argument est que le processus de divulgation a fonctionné comme prévu, puisqu’un chercheur indépendant a découvert la faille et l’a signalée avant tout abus confirmé. De plus, les principaux réseaux, de Bitcoin à Ethereum, ont eux aussi connu de graves bugs par le passé (qui ont tous été détectés et corrigés avant de pouvoir être exploités).

Le défi pour Zcash consiste désormais à déterminer si ses mises à jour prévues en matière de vérification de l'offre peuvent transformer un incident effrayant de justesse en un gain de crédibilité plutôt qu'en une tache indélébile.

Les cryptomonnaies axées sur la confidentialité, telles que Zcash, ont surfé sur la même vague de demande cette année, ZEC et DASH menant une large reprise du secteur qui a fait grimper en flèche leur valeur de marché combinée. L'intérêt des investisseurs institutionnels s'était également accru, Grayscale s'orientant vers un produit ZEC réglementé.

Que l'épisode Orchard devienne une simple anecdote ou un tournant dépendra de ce que les développeurs proposeront ensuite et de la manière dont le marché traitera un bug corrigé, apparemment non exploité : comme un coup de semonce ou comme une raison de se détourner.