Zcash a chuté de 50 % à cause d'un secret vieux de quatre ans — la remontée a discrètement commencé

Zcash a achevé une mise à niveau d'urgence du réseau en deux phases pour corriger une vulnérabilité critique dans son pool protégé Orchard — une faille non détectée pendant quatre ans, qui aurait théoriquement pu permettre la création illimitée et indétectable de ZEC contrefait, et qui a déclenché un effondrement des prix de 50 % avant que la réponse rapide du réseau ne commence à restaurer la confiance et à entraîner une reprise du prix du ZEC.

Josh Swihart, PDG d'Electric Coin Company — le principal développeur de Zcash — a publié sur X le 7 juin pour confirmer que le correctif était complet et que le réseau était sécurisé, alors que le ZEC commençait sa reprise depuis les plus bas atteints après la divulgation de la vulnérabilité.

La publication est arrivée à un moment critique pour l'actif : le ZEC avait chuté d'environ 50 % depuis un pic de 624 $ le 4 juin à 309 $ le 5 juin, effaçant plus de 3 milliards de dollars de sa capitalisation boursière, selon la chronologie documentée de l'incident par le blog BitMEX.

Comment le bug de Zcash a été découvert — et ce qu'il était

La vulnérabilité a été découverte le 29 mai 2026 par le chercheur en sécurité Taylor Hornby lors d'un audit de protocole commandé par Shielded Labs. Hornby a identifié une faille de « soundness » dans le circuit de preuve à divulgation nulle de connaissance Orchard de Zcash — spécifiquement un élément sous-contraint dans le circuit Orchard Action qui pourrait permettre des transitions d'état invalides, créant un risque théorique de double dépense au sein du pool protégé.

La découverte a été réalisée en utilisant le modèle d'IA Claude Opus 4.8 d'Anthropic ainsi qu'une suite d'analyse personnalisée, selon la divulgation officielle de Shielded Labs. Hornby et l'IA ont développé une preuve de concept fonctionnelle qui a réussi à générer un ZEC contrefait illimité et totalement indétectable dans un environnement de test local — décrit par un analyste indépendant comme « à peu près le pire type de bug qu'une cryptomonnaie puisse avoir », selon le reportage de Yahoo Finance sur la divulgation.

Fait important, la faille ne permettait pas l'inflation de l'offre totale de ZEC sur le réseau en direct. Le mécanisme comptable interne de tourniquet de Zcash — qui suit la valeur totale entrant et sortant du pool protégé — a confirmé qu'aucune création de valeur non autorisée ne s'est produite pendant que la faille était active, selon la déclaration officielle de Shielded Labs.

Cependant, l'organisation a reconnu directement qu'en raison des propriétés de confidentialité d'Orchard et de la nature du bug, il n'existe aucun moyen cryptographique définitif pour déterminer si une exploitation a eu lieu — une limitation inhérente à la conception du pool protégé qui est devenue sa propre source de préoccupation pour le marché. La vulnérabilité était présente depuis l'activation d'Orchard en mai 2022 — quatre ans — sans être détectée.

La réponse d'urgence

L'écosystème de développement de Zcash a répondu avec une rapidité inhabituelle. La première phase était un soft fork d'urgence déployé via Zebra 4.5.3, activé au bloc 3 363 426 le 2 juin, qui a temporairement désactivé toutes les transactions Orchard pour supprimer le vecteur d'attaque pendant que les développeurs préparaient le correctif permanent.

Les transactions transparentes et Sapling ont continué à fonctionner normalement tout au long de cette période, selon l'annonce officielle de la Zcash Foundation sur X. La deuxième phase est arrivée le 3 juin via le hard fork NU6.2 — activé au bloc 3 364 600 via Zebra 5.0.0 — qui a introduit un circuit corrigé et une nouvelle clé de vérification, corrigeant la faille et réactivant les transactions Orchard, selon la Foundation.

La réaction initiale du marché au hard fork a été positive. Le ZEC est passé de 544 $ le 2 juin à 603 $ le 3 juin, continuant à 624 $ le 4 juin — son niveau le plus élevé depuis le début du rallye. Ensuite, Arthur Hayes a publiquement divulgué qu'il avait liquidé l'intégralité de sa position ZEC en intraday le 4 juin — le même jour que le pic — en citant cinq facteurs macro, notamment la hausse des prix de l'énergie et les prochaines introductions en bourse d'IA, selon sa publication sur X couverte dans des reportages antérieurs. La combinaison de la sortie de Hayes et de l'incertitude persistante quant à savoir si une exploitation avait eu lieu avant le correctif a envoyé le ZEC à 309 $ le 5 juin.

La reprise et ce qu'elle signifie

La publication X de Swihart du 7 juin — rassurant la communauté sur le fait que l'offre totale de ZEC est restée intacte tout au long et que le réseau avait traversé l'urgence sans exploitation confirmée — semble avoir été le catalyseur de la reprise en cours. La réponse rapide en deux phases, combinée à la divulgation transparente de la Foundation et à la communication directe de Swihart, a fourni le signal de confiance dont le marché avait besoin.

Ce développement marque un moment charnière et véritablement inconfortable pour le positionnement à long terme de Zcash dans ce secteur naissant. Une vulnérabilité vieille de quatre ans dans le pool Orchard — le composant même qui définit la proposition de valeur de confidentialité fondamentale de ZEC — a été corrigée proprement et sans exploitation confirmée.

Mais l'ironie structurelle selon laquelle les propriétés de confidentialité qui rendent Zcash précieux rendent également impossible la confirmation que la vulnérabilité n'a jamais été exploitée restera un point d'interrogation que la communauté devra aborder au fur et à mesure que la reprise se poursuit.

Au moment de la rédaction de cet article, le ZEC s'échange autour de 430 $, se redressant depuis ses plus bas du 5 juin alors que la confiance dans la réponse sécuritaire du réseau se reconstruit progressivement.

Image de couverture de Grok, graphique ZECUSD de Tradingview