Zcash kehilangan lebih dari $5 miliar dalam nilai pasar setelah para pengembangnya, menggunakan Anthropic's Claude AI, menemukan celah lama dalam salah satu sistem privasi yang bisa memungkinkan token palsu dibuat tanpa deteksi mudah.
Menanggapi pengungkapan ini, data dari CryptoSlate menunjukkan bahwa ZEC turun lebih dari 50% hingga mencapai $255 sebelum pulih kembali ke sekitar $321 pada saat penulisan. Hal ini menandakan pembalikan tajam bagi aset yang telah naik lebih dari 1.000% dalam setahun terakhir karena para pedagang menghidupkan kembali taruhan yang lebih luas terhadap privasi finansial.
Penurunan harga menyebabkan kapitalisasi pasar token yang berfokus pada privasi turun dari sekitar $10 miliar menjadi sekitar $4,5 miliar selama periode pelaporan. Kapitalisasi pasar kini telah naik menjadi $5,3 miliar pada saat penulisan.
Kapitalisasi Pasar Zcash (Sumber: Tradingview)
Namun, para pengembang Zcash tetap berpendapat bahwa kerentanan tersebut ditemukan sebelum para penyerang dapat memanfaatkannya, ditambal dalam beberapa hari, dan diselesaikan melalui pembaruan jaringan darurat.
Namun, pengungkapan tersebut menimbulkan pertanyaan yang lebih sulit bagi para investor Zcash: seberapa besar jaminan yang dibutuhkan pasar ketika sistem yang terpengaruh dirancang untuk menyembunyikan jumlah transaksi dan riwayat dompet secara sengaja.
Rally uang pribadi terhenti akibat pengungkapan publik
Zcash diluncurkan pada tahun 2016 sebagai salah satu upaya awal untuk membangun uang digital privat. Berbeda dengan Bitcoin, yang buku besarnya memungkinkan siapa pun untuk melacak saldo dan transaksi,
Zcash memungkinkan pengguna untuk mentransfer dana melalui alamat terlindung yang menyembunyikan jumlah, pengirim, dan penerima. Desain ini telah memberi token ini relevansi baru karena pemerintah, bursa, dan perusahaan analitik telah memperluas kemampuan mereka untuk memantau blockchain publik.
Data dari Zechub menunjukkan bahwa sekitar 30% dari ZEC yang beredar, setara dengan lebih dari 5 juta koin, kini berada di alamat terlindung.
Pasokan Terlindung Zcash (Sumber: Zechub)
Rally baru-baru ini mencerminkan pergeseran tersebut. Para pedagang telah memperlakukan ZEC sebagai salah satu instrumen paling jelas untuk perdagangan privasi, didukung oleh meningkatnya kekhawatiran tentang pengawasan, kecerdasan buatan, dan akses negara terhadap data keuangan.
Namun, momentum tersebut tiba-tiba berbalik setelah Shielded Labs menerbitkan pengungkapan rinci tentang sebuah kerentanan dalam Orchard, kolam terlindung paling canggih milik Zcash.
[
Bacaan Terkait
Zcash dikabarkan sudah tidak berfungsi – lalu menjadi satu-satunya pemenang kripto
Zcash bangkit setelah celah Orchard yang kritis ditambal, meskipun pasar kripto secara umum tengah menghadapi tekanan likuidasi.
4 Jun 2026 · Oluwapelumi Adejumo
Shielded Labs mengatakan bahwa celah tersebut ditemukan pada 29 Mei oleh Taylor Hornby, seorang insinyur keamanan yang mereka pekerjakan pada April untuk mencari kerentanan protokol sebelum pelaku jahat menemukannya.
Hornby menggunakan model kecerdasan buatan Opus 4.8 milik Anthropic saat melakukan tinjauan terarah terhadap sirkuit kriptografi Orchard.
Tinjauan tersebut menemukan bug yang bisa memungkinkan penyerang membuat ZEC palsu di dalam Orchard tanpa terdeteksi. Shielded Labs mengatakan Hornby menulis eksploit lengkap dan mengujinya dalam lingkungan lokal, di mana ia berhasil menghasilkan ZEC palsu tak terbatas yang tampak valid.
Hornby segera mengungkapkan masalah tersebut kepada Zcash Open Development Lab, yang mengoordinasikan respons darurat.
Lalu, para pengembang jaringan memperkenalkan perubahan jaringan sementara untuk menonaktifkan tindakan Orchard yang terpengaruh sebelum meluncurkan pembaruan hard-fork yang memperbaiki kerentanan dan mengembalikan fungsionalitas penuh.
Bug tersebut telah berada di kolam terlindung Zcash selama bertahun-tahun
Kerentanan tersebut sangat sensitif karena Orchard telah aktif sejak Mei 2022. Artinya, celah tersebut telah ada selama sekitar empat tahun meskipun telah berulang kali ditinjau oleh kriptografer, insinyur, dan auditor.
Total Token dalam Kolam Orchard Zcash (Sumber: Zechub)
Bagi orang awam, masalah ini dapat dipahami sebagai kelemahan dalam aturan yang mengatur transaksi privat Zcash.
Transaksi terlindung mencakup bukti matematika yang menunjukkan bahwa transaksi tersebut mengikuti aturan protokol tanpa mengungkapkan jumlah atau riwayat koin. Dalam kasus Orchard, salah satu aturan tersebut ditulis cukup longgar sehingga informasi palsu masih bisa diterima sebagai valid.
Pada dasarnya, kelemahan tersebut terletak pada implementasi sirkuit Orchard, serangkaian instruksi yang menentukan apakah suatu transaksi privat harus diterima.
Dalam blockchain transparan, masalah pasokan lebih mudah diperiksa karena saldo dan transfer terlihat. Dalam kolam terlindung, sistem sengaja menyembunyikan informasi tersebut, dan pengguna bergantung pada kebenaran sirkuit untuk memastikan setiap transaksi privat mengikuti aturan.
Mert Mumtaz, co-founder dan CEO Helius, menunjukkan bahwa sebagian besar protokol privasi memiliki kerentanan ini, berpendapat bahwa:
“Secara teori, dengan protokol privasi zk (bukan hanya zcash), Anda bisa saja memiliki bug dalam sirkuit yang memperbesar pasokan asalkan seseorang yang sangat canggih menemukannya dan entah bagaimana memanfaatkannya tanpa terdeteksi (bedanya dengan eksploit defi biasa adalah lebih sulit dideteksi).”
Inilah salah satu alasan mengapa reaksi pasar terhadap kasus Zcash begitu parah.
Sementara para pengembang Zcash mengatakan tidak ada bukti bahwa bug tersebut telah dieksploitasi, dan beberapa pendukung Zcash berpendapat bahwa pengungkapan dan penambalan cepat menunjukkan proses keamanan jaringan berjalan baik.
Sebagai konteks, Gemini co-founder Cameron Winklevoss mengatakan:
“Zcash memiliki kriptografer, insinyur keamanan, dan peneliti keamanan yang tak tertandingi. Dan komunitasnya sangat fokus pada peningkatan berkelanjutan dan pengerasan jaringan. Itulah sebabnya mereka melibatkan peneliti keamanan kelas dunia untuk mencari bug. Dan itulah sebabnya potensi eksploitasi baru-baru ini ditemukan. Ini bukan kebetulan dan merupakan suatu bentuk kepercayaan, bukan alasan untuk khawatir.”
Namun, koin privasi menghadapi batas yang lebih sempit untuk keraguan. Nilai mereka tidak hanya bergantung pada kerahasiaan, tetapi juga pada keyakinan bahwa kerahasiaan tersebut tidak melemahkan jaminan moneter di baliknya.
Karena itu, BitMEX co-founder Arthur Hayes mengatakan bahwa ia menjual seluruh posisi ZEC-nya setelah mengevaluasi ulang teori privasi. Hayes mengatakan kemungkinan ZEC palsu telah dibuat sangat kecil, tetapi ketidakmampuan membuktikan hal tersebut secara formal mengubah cara ia memandang perdagangan tersebut.
Ia menyatakan:
“Privasi dari AI, pemerintah, narasi teknologi besar menuntut kesempurnaan, bukan kemungkinan kecil.”
Shielded Labs mengakui ketidakpastian tersebut secara langsung dan mengakui bahwa tidak ada cara pasti untuk menentukan melalui kriptografi saja apakah eksploitasi telah terjadi sebelum perbaikan.
Pembaruan yang diusulkan mengalihkan beban kembali ke verifikasi
Atas dasar ketidakpastian yang ada di pasar, Shielded Labs mengusulkan pembaruan jaringan yang akan membuat kolam terlindung baru dan menggunakan akuntansi turnstile pada koin yang bermigrasi keluar dari Orchard.
Pengamat pasar mencatat bahwa usulan ini adalah upaya untuk menjawab kekhawatiran utama pasar. Jika Zcash tidak dapat membuktikan dari catatan internal Orchard saja bahwa koin palsu tidak pernah dibuat, maka Zcash bisa mencoba memaksa jalur migrasi yang menyelaraskan nilai saat koin berpindah ke sistem baru.
Proses tersebut akan kompleks secara teknis dan sensitif secara sosial. Jika tidak ada ZEC palsu, migrasi bisa membantu memulihkan kepercayaan. Namun jika muncul ketidakcocokan, komunitas akan menghadapi pertanyaan lebih sulit tentang saldo mana yang harus dihormati dan bagaimana melindungi pengguna yang memiliki dana di kolam yang terpengaruh.
Sementara itu, Josh Swihart, pendiri perusahaan yang berfokus pada Zcash, ZODL, mengatakan bahwa isu jangka panjang yang lebih penting adalah bagaimana mencegah kerentanan serupa terulang lagi. Ia menyoroti verifikasi formal, sebuah proses yang menggunakan bukti matematika untuk memastikan implementasi sirkuit sesuai dengan aturan yang dimaksudkan.
Verifikasi formal akan mengurangi ketergantungan pada tinjauan manusia terhadap buku aturan yang besar dan rumit. Alih-alih meminta auditor menangkap setiap kasus ekstrem melalui inspeksi, pengembang bisa membuat spesifikasi ringkas dan menggunakan bukti yang diperiksa komputer untuk memverifikasi bahwa implementasi mematuhi spesifikasi tersebut.
Metode ini semakin penting seiring dengan semakin canggihnya sistem privasi. Orchard dibangun untuk performa dan mengandung kasus-kasus khusus yang membuatnya lebih sulit ditinjau secara manual. Sirkuit yang lebih sederhana dan diverifikasi secara formal bisa mengurangi area rawan kesalahan jenis ini.
Para pengembang Zcash dan tim terkait kini sedang mengejar berbagai upaya keamanan, termasuk kerja terus-menerus dengan Hornby, verifikasi formal sirkuit Orchard, dan perekrutan tambahan tenaga keamanan.
Shielded Labs juga mengatakan bahwa proposal rinci untuk pembaruan verifikasi pasokan bisa segera menyusul.
AI mengubah bug lama menjadi risiko pasar yang langsung muncul
Pengungkapan Zcash menyoroti pergeseran fundamental dalam ekonomi keamanan perangkat lunak. Meskipun kecerdasan buatan tidak menciptakan kerentanan Orchard, AI telah sangat mempercepat waktu antara risiko tersembunyi dan pengungkapan publiknya.
Akselerasi ini menimbulkan tantangan sistemik bagi sektor aset digital secara luas.
Protokol mata uang kripto bergantung pada kode sumber terbuka dan logika keuangan yang rumit untuk mengatur kolam modal besar, menjadikannya target yang sangat menarik. Aplikasi keuangan terdesentralisasi (DeFi), bridge lintas rantai, dan blockchain layer-1 semuanya telah menderita akibat bug fundamental yang terlewatkan selama audit awal.
Ancaman ini bergerak cukup cepat hingga mengkhawatirkan para veteran industri. Bulan lalu, co-founder OpenZeppelin Manuel Aráoz mendesak investor untuk keluar sepenuhnya dari DeFi, memperingatkan bahwa agen AI kini mampu mengidentifikasi kerentanan jauh lebih cepat daripada auditor manusia.
Pengingat ini muncul ketika sektor DeFi menghadapi tekanan yang meningkat, setelah kehilangan lebih dari $1,1 miliar akibat eksploitasi dalam setahun terakhir.
Menggandakan ketakutan struktural ini adalah peluncuran diam-diam oleh Anthropic dari Claude Mythos. Model AI pencari kerentanan tersebut dinilai terlalu berbahaya untuk dirilis ke publik oleh perusahaan yang berbasis di San Francisco, menyoroti potensi kerugian mendadak yang tidak dapat diubah jika alat seperti itu jatuh ke tangan yang salah.
Dalam wawancara dengan CryptoSlate, Deddy Lavid, kepala eksekutif perusahaan keamanan blockchain Cyvers, menekankan skala masalah tersebut, memperkirakan bahwa paparan finansial sektor ini terhadap eksploitasi yang didorong AI mudah berkisar dari ratusan juta hingga miliaran dolar.
Pada akhirnya, AI merupakan senjata bermata dua bagi infrastruktur blockchain. Seiring model-model ini semakin canggih, biaya dan upaya yang dibutuhkan penyerang untuk menemukan kelemahan turun drastis, sementara pada saat bersamaan memberi para peneliti pertahanan alat untuk menambalnya lebih cepat.
Realitas penggunaan ganda ini membentuk tanggapan dari para eksekutif kripto terkemuka. Grayscale Chairman Barry Silbert menggambarkan episode Zcash sebagai bukti nyata bahwa aset digital telah sepenuhnya memasuki lingkungan ancaman yang "didukung AI".
Namun, para pendukung industri tetap berpendapat bahwa dasar-dasar pertahanan protokol tetap sama.
Gemini co-founder Tyler Winklevoss menyebut bahwa keamanan perangkat lunak selalu merupakan perlombaan terus-menerus antara pengembang dan pelaku jahat.
Menurutnya, kecerdasan buatan hanya mempercepat laju kedua belah pihak. Ia menyatakan:
“AI tidak mengubah permainan kucing dan tikus ini, hanya mempercepatnya. Setiap perangkat lunak harus menjalani perlombaan ini. Tidak ada jalan keluarnya.”
Postingan Zcash kehilangan lebih dari $5 miliar setelah AI menemukan bug 4 tahun yang bisa menciptakan koin palsu tersembunyi pertama kali muncul di CryptoSlate.