Zcash a perdu plus de 5 milliards de dollars de valeur de marché après que ses développeurs, utilisant Anthropic's Claude AI, ont découvert une faille persistante dans l'un de ses systèmes de confidentialité qui aurait pu permettre la création de tokens contrefaits sans détection aisée.
En réponse à cette divulgation, les données de CryptoSlate montrent que ZEC a chuté de plus de 50 %, tombant jusqu'à 255 $ avant de se redresser à environ 321 $ au moment de la rédaction. Cela représente un revirement brutal pour un actif qui avait grimpé de plus de 1 000 % au cours de l'année passée, alors que les traders renouaient avec un pari plus large sur la confidentialité financière.
La baisse des prix a fait passer la capitalisation boursière du token axé sur la confidentialité d'environ 10 milliards de dollars à environ 4,5 milliards de dollars durant la période considérée. Elle est remontée à 5,3 milliards de dollars au moment de la rédaction.
Capitalisation boursière de Zcash (Source : Tradingview)
Pourtant, les développeurs de Zcash affirment que la vulnérabilité a été découverte avant que les attaquants ne puissent l'utiliser, qu'elle a été corrigée en quelques jours et résolue grâce à une mise à jour d'urgence du réseau.
Cependant, cette divulgation soulève une question encore plus délicate pour les investisseurs de Zcash : quelle assurance les marchés exigent-ils lorsque le système concerné est conçu pour dissimuler par définition les montants des transactions et l'historique des portefeuilles ?
Un rallye autour de la monnaie privée s'effondre suite à une divulgation publique
Zcash a été lancé en 2016 comme l'une des premières tentatives de créer une monnaie numérique privée. Contrairement à Bitcoin, dont le registre permet à quiconque de suivre les soldes et les transactions,
Zcash permet aux utilisateurs de transférer des fonds via des adresses protégées qui masquent les montants, les expéditeurs et les destinataires. Cette conception a redonné au token une pertinence renouvelée, à mesure que les gouvernements, les bourses et les entreprises d'analyse étendent leur capacité à surveiller les blockchains publiques.
Les données de Zechub montrent qu'environ 30 % de ZEC en circulation, soit plus de 5 millions de pièces, se trouvent désormais dans des adresses protégées.
Approvisionnement protégé de Zcash (Source : Zechub)
Le récent rallye reflétait ce changement. Les traders avaient traité ZEC comme l'un des véhicules les plus clairs pour un commerce de confidentialité, aidés par la montée de l'anxiété face à la surveillance, à l'intelligence artificielle et à l'accès des États aux données financières.
Toutefois, cet élan s'est brusquement inversé après que Shielded Labs a publié une divulgation détaillée sur une vulnérabilité dans Orchard, le pool protégé le plus avancé de Zcash.
[
Lecture connexe
On disait que Zcash avait cessé de fonctionner – puis il est devenu le seul gagnant de la crypto
Zcash s'est redressé après la correction d'une faille critique dans Orchard, même si les marchés cryptographiques plus larges subissaient une pression de liquidation.
4 juin 2026 · Oluwapelumi Adejumo
Shielded Labs a indiqué que la faille avait été découverte le 29 mai par Taylor Hornby, un ingénieur en sécurité engagé en avril pour rechercher des vulnérabilités dans le protocole avant qu'elles ne soient exploitées par des acteurs malveillants.
Hornby a utilisé le modèle d'intelligence artificielle Opus 4.8 d'Anthropic lors d'une revue ciblée du circuit cryptographique d'Orchard.
La revue a mis au jour un bug qui aurait pu permettre à un attaquant de créer des ZEC contrefaites dans Orchard sans être détecté. Shielded Labs a précisé que Hornby avait rédigé une exploitation complète et l'avait testée dans un environnement local, où elle avait généré illimitément des ZEC contrefaites apparemment valides.
Hornby a immédiatement signalé le problème au Zcash Open Development Lab, qui a coordonné une réponse d'urgence.
Ensuite, les développeurs du réseau ont introduit une modification temporaire du réseau pour désactiver les actions affectées d'Orchard avant de procéder à une mise à jour en hard-fork corrigeant la vulnérabilité et rétablissant la pleine fonctionnalité.
Le bug était présent dans le pool protégé de Zcash depuis des années
La vulnérabilité était particulièrement sensible car Orchard est actif depuis mai 2022. Cela signifie que la faille existait depuis environ quatre ans malgré les révisions répétées par des cryptographes, des ingénieurs et des auditeurs.
Total de tokens dans le pool Orchard de Zcash (Source : Zechub)
Pour un profane, le problème peut être compris comme une faille dans le règlement qui régit les transactions privées de Zcash.
Une transaction protégée inclut une preuve mathématique prouvant qu'elle respecte les règles du protocole sans révéler le montant ni l'historique des pièces. Dans le cas d'Orchard, l'une de ces règles était formulée de manière suffisamment vague pour que de fausses informations puissent passer pour valides.
Essentiellement, cette faille résidait dans la mise en œuvre du circuit d'Orchard, l'ensemble d'instructions qui détermine si une transaction privée doit être acceptée.
Dans une blockchain transparente, un problème d'approvisionnement est plus facile à inspecter parce que les soldes et les transferts sont visibles. Dans un pool protégé, le système cache délibérément ces informations, et les utilisateurs comptent sur la correction du circuit pour s'assurer que chaque transaction privée respecte les règles.
Mert Mumtaz, cofondateur et PDG de Helius, a souligné que la plupart des protocoles de confidentialité présentent cette vulnérabilité, affirmant que :
“En théorie, avec un protocole de confidentialité zk (pas seulement Zcash), on pourrait avoir un bug dans un circuit qui gonfle l'offre à condition qu'une personne extrêmement sophistiquée le trouve et l'exploite sans être détectée (la différence avec une exploitation classique dans la DeFi est qu'elle est plus difficile à repérer).”
Ceci est l'une des raisons pour lesquelles la réaction du marché face au cas de Zcash a été si sévère.
Bien que les développeurs de Zcash aient affirmé qu'il n'y avait aucune preuve que le bug avait été exploité, et que plusieurs soutiens de Zcash ont argué que la divulgation rapide et la correction témoignaient du bon fonctionnement du processus de sécurité du réseau.
À titre de contexte, Gemini, cofondateur Cameron Winklevoss, a déclaré :
“Zcash dispose de cryptographes, d'ingénieurs en sécurité et de chercheurs en sécurité inégalés. Et la communauté est fortement concentrée sur l'amélioration continue et le renforcement du réseau. C'est pourquoi elle engage des chercheurs en sécurité de classe mondiale pour chercher des bugs. Et c'est pourquoi la récente menace potentielle a été découverte. Ce n'était pas accidentel, et cela constitue un vote de confiance, pas une cause d'inquiétude.”
Toutefois, les pièces de confidentialité font face à une marge de doute plus étroite. Leur valeur dépend non seulement de la discrétion mais aussi de la confiance que cette discrétion n'a pas affaibli les garanties monétaires sous-jacentes.
De ce fait, BitMEX, cofondateur Arthur Hayes, a déclaré avoir vendu toute sa position en ZEC après avoir réévalué la thèse de confidentialité. Hayes a indiqué qu'il était peu probable que des ZEC contrefaites aient été créées, mais l'impossibilité de prouver formellement ce point a changé sa vision du trade.
Il a déclaré :
“La confidentialité contre l'IA, le gouvernement et les grandes technologies exige la perfection, pas l'improbabilité.”
Shielded Labs a reconnu cette incertitude directement et a admis qu'il n'existait aucun moyen définitif de déterminer uniquement par cryptographie si une exploitation avait eu lieu avant la correction.
La solution proposée reporte le fardeau sur la vérification
En raison de l'incertitude actuelle sur le marché, Shielded Labs a proposé une mise à jour du réseau qui créerait un nouveau pool protégé et utiliserait une comptabilité à tourniquet pour les pièces migrantes hors d'Orchard.
Les observateurs du marché ont noté que cette proposition vise à répondre à la préoccupation centrale du marché. Si Zcash ne peut pas prouver à partir des seuls registres internes d'Orchard que des pièces contrefaites n'ont jamais été créées, il peut essayer de forcer une voie de migration qui concilie la valeur lorsque les pièces transitent vers un nouveau système.
Ce processus serait techniquement complexe et socialement sensible. Si aucune ZEC contrefaite n'existe, la migration pourrait aider à restaurer la confiance. En cas de divergence, la communauté devrait faire face à des questions plus difficiles sur les soldes à honorer et sur la protection des utilisateurs ayant conservé des fonds dans le pool affecté.
Entre-temps, Josh Swihart, fondateur de la société spécialisée dans Zcash ZODL, a déclaré que la question à long terme la plus importante est de prévenir la récurrence de telles vulnérabilités. Il a mis l'accent sur la vérification formelle, un processus qui utilise des preuves mathématiques pour confirmer que la mise en œuvre d'un circuit correspond aux règles prévues.
La vérification formelle réduirait la dépendance à l'égard de l'examen humain d'un règlement complexe et volumineux. Au lieu de demander aux auditeurs de détecter chaque cas limite par inspection, les développeurs peuvent créer une spécification concise et utiliser des preuves vérifiées par ordinateur pour s'assurer que la mise en œuvre la respecte.
Cette approche devient de plus en plus importante à mesure que les systèmes de confidentialité se complexifient. Orchard a été conçu pour la performance et comporte des cas particuliers qui rendent son examen manuel plus difficile. Un circuit plus simple et formellement vérifié pourrait réduire la surface d'erreur de ce type.
Les développeurs de Zcash et les équipes affiliées poursuivent aujourd'hui plusieurs efforts de sécurité, notamment le travail continu avec Hornby, la vérification formelle du circuit d'Orchard et l'embauche supplémentaire de personnel spécialisé en sécurité.
Shielded Labs a également indiqué qu'une proposition détaillée pour des améliorations de la vérification de l'approvisionnement pourrait suivre prochainement.
L'IA transforme les anciens bugs en risques immédiats pour le marché
La divulgation de Zcash met en lumière un changement fondamental dans l'économie de la sécurité logicielle. Bien que l'intelligence artificielle n'ait pas créé la vulnérabilité d'Orchard, elle a considérablement raccourci le délai entre un risque caché et sa découverte publique.
Cette accélération pose un défi systémique au secteur plus large des actifs numériques.
Les protocoles de cryptomonnaies reposent sur du code open source et une logique financière complexe pour régir d'immenses pools de capitaux, ce qui en fait des cibles très attractives. Les applications de finance décentralisée (DeFi), les ponts interchaînes et les blockchains de niveau 1 ont tous souffert de bugs fondamentaux passés inaperçus lors des audits initiaux.
Cette menace évolue suffisamment vite pour alarmer les vétérans de l'industrie. Le mois dernier, Manuel Aráoz, cofondateur d'OpenZeppelin, a exhorté les investisseurs à quitter complètement la DeFi, avertissant que les agents IA sont désormais capables d'identifier les vulnérabilités bien plus rapidement que les examinateurs humains.
Cette prudence intervient alors que le secteur de la DeFi subit une pression croissante, ayant perdu plus de 1,1 milliard de dollars à cause d'exploits au cours de l'année écoulée.
Combinant ces craintes structurelles, Anthropic a dévoilé discrètement Claude Mythos. Ce modèle d'IA à la recherche de vulnérabilités a été jugé trop dangereux pour une diffusion publique par l'entreprise basée à San Francisco, soulignant le risque de pertes soudaines et irréversibles si de tels outils tombaient entre de mauvaises mains.
Dans une interview accordée à CryptoSlate, Deddy Lavid, directeur général de la société de sécurité blockchain Cyvers, a souligné l'ampleur du problème, estimant que l'exposition financière du secteur aux exploits pilotés par l'IA varie facilement de centaines de millions à des milliards de dollars.
En fin de compte, l'IA représente une arme à double tranchant pour l'infrastructure blockchain. À mesure que ces modèles deviennent plus sophistiqués, ils réduisent drastiquement le coût et l'effort nécessaires aux attaquants pour trouver des failles, tout en offrant simultanément aux chercheurs en défense les outils pour les corriger plus rapidement.
Cette réalité à double usage a façonné la réaction des grands dirigeants de la crypto. Barry Silbert, président de Grayscale, a qualifié l'épisode de Zcash de preuve claire que les actifs numériques sont entrés pleinement dans un environnement de menaces « habilité par l'IA ».
Pourtant, les défenseurs de l'industrie maintiennent que les fondamentaux de la défense des protocoles restent les mêmes.
Le cofondateur de Gemini, Tyler Winklevoss, a souligné que la sécurité logicielle a toujours été une course permanente entre les développeurs et les acteurs malveillants.
Selon lui, l'intelligence artificielle a simplement accéléré le rythme pour les deux parties. Il a déclaré :
“L'IA ne change pas ce jeu du chat et de la souris, elle l'accélère seulement. Chaque logiciel doit courir cette course. Il n'y a pas d'échappatoire.”
La publication Zcash perd plus de 5 milliards de dollars après qu'une IA a trouvé une faille de 4 ans qui aurait pu créer des pièces cachées falsifiées est apparue en premier sur CryptoSlate.