- Zcash a révélé un bug critique du pool Orcheat qui aurait pu permettre la création illimitée de ZEC.
- Les chercheurs ont trouvé et corrigé la faille en quelques jours, et une nouvelle mise à niveau a été proposée.
- Arthur Hayes a quitté l’intégralité de son poste à la ZEC après la divulgation, car le token a chuté de 33 %.
Un problème majeur de sécurité dans le pool blindé Orchard de Zcash a déclenché une réponse à l’échelle du réseau après que les développeurs ont confirmé que le bug aurait pu permettre la création illimitée de ZEC contrefaits à l’intérieur du pool de confidentialité.
Selon le fondateur de Zcash Zooko Wilcox-O’Hearn, la vulnérabilité a été découverte le 29 mai par la chercheuse en sécurité Taylor Hornby et corrigée grâce à une mise à jour d’urgence achevée le 2 juin.
Ce défaut existait depuis le lancement d’Orchard en mai 2022. Hornby a démontré un exploit fonctionnel dans un environnement de test local qui générait un ZEC contrefait illimité tout en restant invisible aux méthodes de détection normales.
Les développeurs ont déclaré que la même faille aurait pu produire un nombre illimité de fausses pièces sur le réseau actif si elle avait été déployée avant le patch.
Le problème provenait d’une faiblesse au sein du circuit cryptographique d’Orchard. En termes simples, le système pourrait être trompé pour accepter de fausses données de transaction comme valides, permettant ainsi la création de nouvelles pièces au sein du pool blindé.
La confidentialité a créé un problème d’audit
La plus grande inquiétude n’était pas seulement le bug lui-même. Parce qu’Orchard est conçu pour masquer les soldes et les détails des transactions, les développeurs ne peuvent pas utiliser de preuves cryptographiques pour déterminer si quelqu’un a exploité la vulnérabilité avant qu’elle ne soit corrigée.
Shielded Labs a déclaré qu’il n’existe actuellement aucun moyen définitif de prouver, à partir des seules données blockchain, que la ZEC contrefaite n’a jamais été créée durant les quatre années où la faille existait. Parallèlement, l’organisation a ajouté qu’elle estime qu’une exploitation antérieure est peu probable.
Cette vulnérabilité a échappé à des années d’examen par les cryptographes et les auditeurs. Shielded Labs a indiqué que la découverte de Hornby avait eu lieu lors d’un programme de sécurité dédié lancé spécifiquement pour détecter des faiblesses cachées avant que les attaquants ne puissent le faire.
Mise à niveau d’urgence déployée
Après avoir reçu la divulgation, des ingénieurs du Zcash Open Development Lab ont coordonné une réponse privée avec les mineurs et les plateformes d’échange. Un soft fork d’urgence a désactivé les transactions Orchard le 2 juin au bloc 3 363 426.
Une seconde mise à jour, connue sous le nom de NU6.2, a rétabli la fonctionnalité d’Orchard le 3 juin au bloc 3 364 600 grâce à un circuit corrigé. Pendant la période de mise à niveau, les transferts Orchard étaient mis en pause tandis que les transactions transparentes et Sapling continuaient d’opérer.
Pendant ce temps, l’incapacité à prouver que les fausses pièces n’ont jamais existé à l’intérieur d’Orchard reste la question centrale. Orchard détient actuellement plus de 4 millions de ZEC et représente la majorité des pièces stockées dans les pools privés de Zcash.
En lien avec : Zcash risque une suspension temporaire alors même que l’utilisation de la protection de la vie privée grimpe en flèche
Nouvelle proposition vise à prouver l’intégrité de l’offre
Shielded Labs souhaite désormais introduire une nouvelle mise à niveau réseau conçue pour dissiper l’incertitude autour de l’approvisionnement d’Orchard.
La proposition créerait un nouveau bassin blindé et exigerait que toutes les pièces sortant d’Orchard passent par la comptabilité des tourniquets. L’objectif est de permettre à quiconque de vérifier de manière indépendante qu’aucun ZEC contrefait n’existe.
Les promoteurs prévoient de publier la proposition complète dans les prochains jours.
Le marché réagit alors que Hayes quitte sa position
ZEC a effacé ses gains hebdomadaires et a chuté d’environ 33 % en 24 heures, tout en affichant une baisse sur sept jours d’environ 25 %. Arthur Hayes, cofondateur de BitEX, a déclaré qu’il avait liquidé l’intégralité de sa position chez ZEC après avoir examiné la vulnérabilité.
Hayes a déclaré que, bien qu’il pense que la frappe non autorisée était probablement peu probable, il ne pouvait pas prouver cryptographiquement qu’elle n’avait jamais eu lieu. Pour lui, cette incertitude entrait en conflit avec le principal argument d’investissement pour les actifs de vie privée.
Hayes a déclaré qu’il restait ouvert à racheter dans la ZEC si les preuves futures renforcent la confiance dans l’intégrité de l’approvisionnement du réseau.
En lien : Prédiction du prix de Zcash (ZEC) 2026-2050 : Zcash atteindra-t-il bientôt 1 000 $ ?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
