Bumulusok nang double-digit ang Zcash magdamag matapos ibunyag ng mga developer ang isang kritikal na kahinaan sa Orchard shielded pool ng protocol na maaaring nagpahintulot ng hindi matukoy na pamemeke sa loob ng mahigit apat na taon.
Ang privacy coin ay bumaba mula sa lokal na pinakamataas na $635 noong Miyerkules patungo sa pinakamababang intraday na $309 noong Huwebes, ayon sa datos ng CoinGecko. Bahagya itong nakabawi sa humigit-kumulang $330, bumaba ng 37.8% sa araw na iyon.
https://t.co/v7BiOdzU9E
— zooko🛡🦓🦓🦓 ⓩ (@zooko) June 4, 2026
Ang kahinaan ay natuklasan noong Mayo 29 ng security researcher na si Taylor Hornby gamit ang mga AI-assisted auditing tool.
Ito ay matatagpuan sa dalawang linya ng code sa loob ng Orchard circuit, ang cryptographic component na namamahala sa mga shielded transaction ng Zcash, at nagpahintulot sa isang malisyosong aktor na makalikha ng pekeng ZEC sa loob ng shielded pool nang walang on-chain signature. Kung ang bug ay nagamit bago ito natuklasan, walang paraan para mapatunayan ito.
"Ang kahinaan ay naroroon mula sa pag-activate ng Orchard noong Mayo 2022 hanggang sa mailabas ang emergency fix noong Hunyo 1, 2026," isinulat ng Shielded Labs, ang organisasyon sa likod ng pagpapaunlad ng Zcash, sa isang disclosure post. "Dahil sa mga katangian ng privacy ng Orchard at ang likas na katangian ng bug, walang tiyak na paraan upang matukoy, gamit lamang ang cryptography, kung nangyari ang ganoong pagsasamantala."
Muling pinag-usapan ng insidente ang isang istrukturang problema na sinasabi ng mga kritiko na lampas pa sa partikular na bug. Hindi tulad ng Bitcoin o Ethereum, kung saan ang on-chain exploitation ay agad na nakikita, ang mga privacy coin tulad ng Zcash ay lumilikha ng mga kondisyon kung saan ang isang matagumpay na pag-atake ay maaaring hindi kailanman matukoy.
"Pinapayagan ng Zcash ang isang natatanging klase ng mga bug kung saan kung ito ay magamit, walang makakaalam," tweet ng crypto commentator na si Udi Wertheimer. "Ang natatanging klase na ito ay umiiral pa rin. Ang katotohanan na inayos nila ang partikular na bug na ito ay walang saysay."
Ang mga under-constrained elliptic curve checks, ang kategorya ng depekto sa ugat ng kahinaang ito, ay kabilang sa mga pinakakaraniwang kahinaan sa production ZK circuits, ayon kay Joe Andrews, CEO ng Aztec Labs, isang privacy-first product studio. Ang pattern ay hindi bago sa Zcash, sabi ni Andrews, at idinagdag na pinapabilis ng AI ang bilis kung saan natutuklasan ang mga bug na ito sa buong industriya.
Ang pangmatagalang solusyon, ayon kay Andrews sa Decrypt, ay pormal na pagpapatunay ng circuit na sinamahan ng ikalawang sistema ng patunay, isang diskarte na pinaplano na ng Ethereum. "Parehong sistema ay dapat sumang-ayon upang maging balido ang isang state transition, na lubos na nagpapababa sa posibilidad na magamit ang mga bug," sabi niya.
Ibinunyag ni Arthur Hayes, dating CEO ng BitMEX, na nilikida niya ang buong posisyon niya sa Zcash kasunod ng pagbubunyag.
Ang agarang panganib para sa mga may hawak ay hindi inflation sa buong chain kundi ang potensyal na kawalan ng kakayahang magbayad (insolvency) ng Orchard pool mismo, na nangangahulugang ang mga may hawak ng shielded ZEC ay maaaring ma-dilute kung ang mga pekeng claim ay makikipagkompetensya sa mga lehitimong claim para sa isang limitado pool balance.
The Holy Trinity is dead. Sadly due to the Orchard Pool exploit, I had to dump our entire $ZEC bag.
- While I think it's extremely unlikely of any minting, it cannot be formally cryptographically proved impossible
- The privacy from AI, govt, big tech narrative demands perfection…— Arthur Hayes (@CryptoHayes) June 5, 2026
Hindi lahat ay nagbabahagi ng pagkabahala na iyon. Ikinatwiran ni Craig Salm, chief legal officer at Grayscale, na hindi malamang ang paggamit ng bug bago ang patch. Upang maniwala na talagang nagamit ang kahinaan, sabi ni Salm, kailangan sanang masusing sinuri ng isang tao ang codebase kaysa sa lahat ng core developer na pinagsama, at pagkatapos ay nilabanan ang tukso na ubusin ang buong pool sa panahon ng isang makasaysayang bull run. "Mukhang hindi malamang sa akin," tweet niya.
Nagpanukala ang Shielded Labs ng network upgrade na maglalabas ng bagong shielded pool na may turnstile accounting, na magpapahintulot sa sinuman na i-verify ang integridad ng supply ng Zcash.
Sinabi ni Andrews na ang istraktura ng upgrade na iyon, na nangangailangan ng lahat ng coin na unshield bago pumasok sa bagong pool, ay epektibong naglilimita sa panganib mula sa anumang naunang pagsasamantala sa kasalukuyang halaga ng shielded assets. "Ang pormal na pagpapatunay ng bagong upgrade ay mas nagpapababa pa ng mga panganib," sabi niya.
