Zcash a achevé une mise à niveau d'urgence du réseau en deux phases pour corriger une vulnérabilité critique dans son pool protégé Orchard. Le défaut est passé inaperçu pendant quatre ans et aurait théoriquement pu permettre la création illimitée et indétectable de faux ZEC. La nouvelle du bug a provoqué une chute de prix de 50 %, mais la réponse rapide du réseau a aidé à restaurer la confiance et a conduit à un rebond du prix du ZEC.
Lecture connexe : Un analyste trace la feuille de route à long terme d'Ethereum jusqu'à 16 000 $ – Il n'y a pas lieu de paniquer
Le 7 juin, Josh Swihart, PDG d'Electric Coin Company — le principal développeur de Zcash — a posté sur X confirmant que la correction était terminée et que le réseau était sécurisé. Cela est survenu alors que ZEC commençait à se remettre des creux atteints après la divulgation de la vulnérabilité. Le post est arrivé à un moment critique : ZEC avait chuté d'environ 50 % par rapport à un sommet du 4 juin à 624 $ pour atteindre 309 $ le 5 juin, effaçant plus de 3 milliards de dollars de sa capitalisation boursière, selon la chronologie de l'incident du blog BitMEX.
Le prix du ZEC a eu tendance à augmenter au cours des 48 dernières heures, comme le montre le graphique quotidien. Source : ZECUSD sur Tradingview
Comment le bug Zcash a été trouvé — Et ce que c'était
La vulnérabilité a été découverte le 29 mai 2026 par le chercheur en sécurité Taylor Hornby lors d'un audit de protocole commandé par Shielded Labs. Hornby a trouvé un défaut de "solidité" dans le circuit de preuve à connaissance nulle Orchard de Zcash — spécifiquement, un élément sous-contraint dans le circuit Orchard Action qui aurait pu permettre des transitions d'état invalides, créant un risque théorique de double dépense au sein du pool protégé.
La découverte a été faite en utilisant le modèle d'IA Claude Opus 4.8 d'Anthropic ainsi qu'une suite d'analyse personnalisée, selon la divulgation officielle de Shielded Labs. Hornby et l'IA ont développé une preuve de concept fonctionnelle qui a réussi à générer des ZEC contrefaits illimités et complètement indétectables dans un environnement de test local. Un analyste indépendant l'a décrit comme "à peu près le pire type de bug qu'une cryptomonnaie puisse avoir", selon le reportage de Yahoo Finance.
Il est important de noter que le défaut n'a pas permis l'inflation de l'offre totale de ZEC sur le réseau en direct. Le mécanisme de comptabilité du tourniquet interne de Zcash — qui suit la valeur totale entrant et sortant du pool protégé — a confirmé qu'aucune création de valeur non autorisée n'a eu lieu pendant que le défaut était actif, selon la déclaration officielle de Shielded Labs. Cependant, l'organisation a reconnu qu'en raison des fonctionnalités de confidentialité d'Orchard et de la nature du bug, il n'existe aucun moyen cryptographique définitif de déterminer si une exploitation a réellement eu lieu. Cette limitation, inhérente à la conception du pool protégé, est devenue une source de préoccupation du marché en soi.
La vulnérabilité était présente depuis l'activation d'Orchard en mai 2022 — quatre ans — sans être détectée.
La réponse d'urgence
L'écosystème de développement de Zcash a répondu avec une rapidité inhabituelle. La première phase a été un soft fork d'urgence déployé via Zebra 4.5.3, activé au bloc 3 363 426 le 2 juin. Il a temporairement désactivé toutes les transactions Orchard pour supprimer la voie d'attaque pendant que les développeurs préparaient une correction permanente. Les transactions transparentes et Sapling ont continué à fonctionner normalement tout au long, selon l'annonce officielle de la Zcash Foundation sur X.
La deuxième phase est arrivée le 3 juin via le hard fork NU6.2 — activé au bloc 3 364 600 via Zebra 5.0.0 — qui a introduit un circuit corrigé et une nouvelle clé de vérification, corrigeant le défaut et réactivant les transactions Orchard, selon la Fondation.
La réaction initiale du marché au hard fork a été positive. ZEC est passé de 544 $ le 2 juin à 603 $ le 3 juin, puis a continué jusqu'à 624 $ le 4 juin — son plus haut niveau depuis le début de la reprise. Puis Arthur Hayes a divulgué publiquement qu'il avait quitté l'intégralité de sa position ZEC en cours de séance le 4 juin, le même jour que le sommet. Il a cité cinq facteurs macroéconomiques, notamment la hausse des prix de l'énergie et les prochaines introductions en bourse d'IA, selon son post X couvert dans des reportages précédents. La combinaison de la sortie de Hayes et de l'incertitude persistante quant à savoir si une exploitation avait déjà eu lieu avant le correctif a envoyé ZEC à 309 $ le 5 juin.
La reprise et ce que cela signifie
Le post du 7 juin de Swihart sur X a rassuré la communauté que l'offre totale de ZEC était restée intacte tout au long de l'incident et que le réseau avait traversé l'urgence sans exploitation confirmée. Cela semble avoir déclenché la reprise actuellement en cours. La réponse rapide en deux phases, ainsi que la divulgation transparente de la Fondation et la communication directe de Swihart, ont donné au marché la confiance dont il avait besoin.
Ce développement marque un moment charnière et véritablement inconfortable pour la position à long terme de Zcash dans ce secteur émergent. Une vulnérabilité vieille de quatre ans dans le pool Orchard — la caractéristique même qui définit la valeur fondamentale de confidentialité de ZEC — a été corrigée proprement et sans exploitation confirmée.
Lecture connexe : Le crash du prix du Bitcoin est-il terminé ou n'est-ce que le début ? Un analyste répond
Mais il y a une ironie structurelle : les fonctionnalités de confidentialité qui rendent Zcash précieux rendent également impossible de confirmer que la vulnérabilité n'a jamais été utilisée. Cela restera un point d'interrogation que la communauté devra aborder alors que la reprise se poursuit.
Au moment de la rédaction de cet article, ZEC se négocie autour de 430 $, se remettant de ses creux du 5 juin alors que la confiance dans la réponse sécuritaire du réseau se reconstruit progressivement.
Image de couverture de Grok, graphique ZECUSD de Tradingview
Foire aux questions
Voici une liste de FAQ basées sur le sujet, rédigées dans un ton naturel avec des réponses claires et concises
Questions de niveau débutant
1 Attendez, Zcash a chuté de 50 % à cause d'un secret ? Quel secret ?
Le secret était une vulnérabilité dans le protocole Zcash qui a été découverte et corrigée secrètement il y a quatre ans. Ce n'était pas un secret pour les développeurs — ils l'ont corrigée discrètement — mais lorsque la nouvelle de l'ancienne vulnérabilité a récemment fuité, les investisseurs ont paniqué et vendu leurs pièces.
2 Si le bug a été corrigé il y a quatre ans, pourquoi le prix a-t-il chuté maintenant ?
L'information sur l'ancienne vulnérabilité est devenue publique pour la première fois récemment. Même si le bug était déjà corrigé, la nouvelle a effrayé les nouveaux investisseurs qui ne connaissaient pas toute l'histoire, provoquant une vente temporaire.
3 Mon Zcash est-il sûr ? Mon argent a-t-il déjà été en danger ?
Oui, votre Zcash est sûr. La vulnérabilité a été corrigée il y a quatre ans et aucun fonds n'a jamais été volé ou perdu à cause de cela. La récente chute de prix était purement due à la panique du marché, pas à un problème de sécurité.
4 Que signifie "a commencé discrètement sa reprise" ?
Cela signifie qu'après la vente de panique initiale, les acheteurs reviennent. Le prix remonte lentement alors que de plus en plus de personnes réalisent que la vulnérabilité était déjà corrigée et que le projet est toujours sécurisé.
5 Devrais-je acheter du Zcash maintenant parce qu'il se remet ?
C'est une décision d'investissement personnelle. La reprise suggère que la confiance revient, mais la crypto est volatile. Faites vos propres recherches et n'investissez jamais plus que ce que vous pouvez vous permettre de perdre.
Questions de niveau intermédiaire et avancé
6 Quelle était exactement la vulnérabilité vieille de quatre ans dans Zcash ?
C'était un défaut cryptographique dans le système de preuve Sprout. Il aurait théoriquement pu permettre à un attaquant de créer des pièces contrefaites sans détection. L'équipe l'a corrigé en passant au protocole Sapling.
7 Pourquoi l'équipe Zcash a-t-elle gardé la vulnérabilité secrète pendant quatre ans ?
Ils ont suivi une pratique de sécurité courante appelée divulgation responsable. Ils ont corrigé le bug en silence pour empêcher les acteurs malveillants de l'exploiter avant le déploiement du correctif. Ils n'ont révélé les détails que des années plus tard, une fois que le correctif était pleinement prouvé et ne présentait plus de risque.