Zcash a résolu en 5 jours une faille critique dans sa pool de confidentialité Orchard, potentiellement exploitable pour réaliser des doubles dépenses. Le réseau a exécuté une mise à jour d’urgence baptisée NU6.2, décrite comme la plus ambitieuse de son histoire, après qu’un chercheur en sécurité a identifié la vulnérabilité le 29 mai.
Au programme
- Une faille dans le circuit zk-proof d’Orchard ouvrait théoriquement la voie à des doubles dépenses : aucune exploitation n’a été détectée (Zcash Foundation)
- Réponse en 2 phases en 5 jours : soft fork d’urgence pour geler Orchard, puis hard fork NU6.2 pour restaurer les transactions confidentielles
- ZEC a progressé malgré la crise, signe de confiance dans la rapidité de réaction de l’écosystème
Quelle était la nature exacte de la faille Orchard ?
Le 29 mai, Taylor Hornby, chercheur en sécurité, a découvert une vulnérabilité dans le circuit de preuve à divulgation nulle de connaissance (zk-proof) utilisé par la pool Orchard. Ce mécanisme est au cœur de la confidentialité de Zcash : il permet de valider des transactions sans révéler les montants ni les adresses.
La faille autorisait théoriquement un attaquant à générer une preuve valide pour une transaction frauduleuse, créant ainsi de la monnaie ex nihilo par double dépense. La Zcash Foundation a précisé que le mécanisme interne baptisé « turnstile » - conçu précisément pour détecter toute émission anormale de tokens - n’a relevé aucune anomalie. Aucune exploitation n’a donc eu lieu avant la correction.
Comment NU6.2 a-t-il été déployé en 5 jours ?
L’écosystème Zcash a opté pour une réponse en 2 étapes coordonnées par le Zcash Open Development Lab et la Zcash Foundation.
La première phase, un soft fork d’urgence, a gelé temporairement l’ensemble des transactions Orchard le temps de préparer le correctif. La chaîne continuait de produire des blocs normalement, mais les explorateurs de blocs ont brièvement affiché des erreurs lors de la mise à jour des nœuds, créant une confusion passagère sans incidence réelle sur le réseau.
La seconde phase, le hard fork NU6.2, a remplacé la clé de vérification des preuves zk défectueuse et restauré les transactions Orchard chiffrées. Selon Decrypt, l’équipe décrit cette intervention comme « la mise à niveau réseau la plus ambitieuse » de l’histoire de Zcash. Les nœuds ont connu une instabilité passagère pendant que les mineurs basculaient vers la nouvelle version, mais aucune interruption prolongée n’a été enregistrée.
La Zcash Foundation a exhorté tous les opérateurs de nœuds à migrer vers Zebra 5.0.0 immédiatement. L’article de CoinGape souligne que cette migration reste critique pour garantir la cohérence du réseau.
Pourquoi cette crise renforce-t-elle la crédibilité de Zcash ?
La réactivité est ici l’indicateur le plus parlant. Cinq jours entre la découverte de la faille et le déploiement complet d’un hard fork correctif représente un délai court pour une intervention de cette ampleur, comme le soulignent les hard forks d’urgence passés dans l’écosystème crypto - dont certains ont traîné plusieurs semaines.
La faille d’Orchard s’inscrit dans une tendance plus large : les protocoles de confidentialité font face à des contraintes de sécurité spécifiques liées à la complexité des zk-proofs. Contrairement à un bug de contrat intelligent classique, une erreur dans un circuit de preuve cryptographique est particulièrement difficile à détecter car elle ne produit aucun effet visible jusqu’à son exploitation. La mise à jour d’urgence Zebra publiée récemment avait déjà montré la capacité de l’équipe à intervenir rapidement, mais NU6.2 constitue un cran supplémentaire en termes de complexité.
Le prix de ZEC a progressé pendant la période de crise, ce qui tranche avec le comportement habituel d’un marché face à une annonce de vulnérabilité. L’absence confirmée d’exploitation et la communication transparente de la fondation semblent avoir convaincu les détenteurs de conserver leurs positions. Pour mémoire, Zcash avait franchi les 600 dollars après une prise de position significative de Multicoin Capital, illustrant l’appétit institutionnel persistant pour les actifs axés sur la vie privée.
Ce type de résolution contraste avec des situations où des correctifs tardifs ont laissé des fenêtres d’exploitation ouvertes. Sur Ethereum, par exemple, les discussions autour des hard forks ont souvent soulevé des questions de gouvernance complexes et ralenti les déploiements d’urgence. La structure plus resserrée de Zcash a ici joué en sa faveur.
La capacité à mobiliser chercheurs, développeurs du protocole et opérateurs de nœuds en moins d’une semaine pose Zcash comme une référence en matière de gestion de crise pour les blockchains axées sur la confidentialité.
À retenir
Zcash a colmaté en 5 jours une faille potentiellement catastrophique dans Orchard sans qu’aucune exploitation ne survienne. La rapidité d’exécution du hard fork NU6.2 et la transparence de la communication sont à surveiller comme indicateurs de maturité pour les futurs projets privacy-chain. Les prochaines semaines confirmeront si la migration vers Zebra 5.0.0 s’est faite sans incident parmi les opérateurs retardataires.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash