Zcash (zec) a plongé de 31 % après que des chercheurs ont révélé une faille critique qui aurait permis à des attaquants de créer une quantité illimitée de jetons contrefaits au sein du pool Orchard axé sur la confidentialité du réseau, bien que les développeurs affirment que le bug a été corrigé avant toute exploitation connue.
Vulnérabilité de Zcash
Un groupe de soutien indépendant, Shielded Labs, a révélé jeudi que l’ingénieur en sécurité Taylor Hornby avait découvert une vulnérabilité grave dans le pool de transactions Orchard de Zcash lors d’un audit de protocole lancé en avril.
La faille touchait Orchard, le pool protégé du réseau qui utilise des preuves à divulgation nulle de connaissance pour vérifier les transactions privées. Selon Shielded Labs, la vulnérabilité permettait à un attaquant de soumettre de fausses entrées pendant un processus de multiplication sur courbe elliptique tout en passant malgré tout la validation de la transaction, ce qui pouvait potentiellement permettre la création illimitée de ZEC contrefaits.
Hornby a identifié le problème le 29 mai grâce à une combinaison d’analyse de sécurité traditionnelle et de recherche assistée par l’IA, incluant le modèle Opus 4.8 d’Anthropic. Il a immédiatement signalé ses conclusions aux ingénieurs du Zcash Open Development Lab, et la vulnérabilité a été corrigée le 1er juin.
Les chercheurs ont indiqué avoir réussi à créer un exploit de preuve de concept dans un environnement de test local, démontrant que la faille était bien réelle et qu’elle pouvait générer, dans des conditions contrôlées, des ZEC contrefaits impossibles à détecter.
À lire aussi : Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Découverte grâce à l’IA
Malgré la gravité de la vulnérabilité, Shielded Labs estime qu’une exploitation réelle semble peu probable. La faille existait depuis le lancement d’Orchard en mai 2022, mais était restée inaperçue malgré des examens approfondis par des cryptographes et des experts en sécurité.
L’organisation affirme que cette découverte résulte d’un effort ciblé visant à identifier des vulnérabilités avancées avant que des acteurs malveillants ne puissent les trouver. Les chercheurs ont combiné des outils d’IA récemment publiés avec des flux de travail de sécurité sur mesure, conçus pour accélérer l’analyse de code et la recherche de failles.
Comme les transactions Orchard sont privées par conception, les enquêteurs ne peuvent pas déterminer avec certitude si le bug a déjà été exploité. Cependant, Shielded Labs indique qu’il n’existe actuellement aucune preuve que des jetons contrefaits aient été créés sur le réseau principal.
L’équipe évalue maintenant une mise à jour du réseau qui permettrait aux utilisateurs de vérifier de manière indépendante l’intégrité de l’offre de Zcash.
La proposition inclut le déploiement d’un nouveau pool protégé et l’introduction de mécanismes comptables supplémentaires pour prouver qu’aucun ZEC contrefait n’existe dans Orchard.
La divulgation a déclenché une forte réaction du marché.
Le ZEC est tombé à environ 383 $ tôt vendredi, soit une baisse de 36 % sur 24 heures, une grande partie du repli s’étant produite dans les heures qui ont suivi l’annonce publique. Le jeton a connu plusieurs périodes de forte volatilité ces dernières années, réagissant souvent vivement aux évolutions liées aux technologies de confidentialité, à la réglementation et à la sécurité du réseau.
À lire ensuite : Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps