Une faille critique dans le pool blindé Orchard de Zcash permettait de créer des ZEC non couverts sans qu’aucune vérification on-chain ne puisse la détecter. Depuis la divulgation publique, le token a perdu jusqu’à 47 % de sa valeur en 24 heures. Arthur Hayes a aussitôt liquidé l’intégralité de sa position ZEC.

En bref

La vulnérabilité concernait le circuit zk-SNARK du protocole Orchard, le plus récent des pools confidentiels de Zcash. Elle aurait permis à un acteur malveillant d’émettre des ZEC en excès sans laisser de trace vérifiable. L’équipe a déployé un correctif avant la divulgation, mais la publication de l’incident a suffi à déclencher une liquidation massive sur les marchés.

ZEC : -47 % en 24 h après la divulgation Orchard Le token ZEC a perdu jusqu'à 47 % de sa valeur en 24 heures suite à la divulgation publique d'une faille de contrefaçon dans le pool blindé Orchard de Zcash. ZEC après divulgation Orchard -47 % en 24 heures sur ZEC Faille de contrefaçon indétectable dans le pool Orchard Source : Decrypt, Bitcoin.com News, juin 2026

Quelle faille a touché le pool Orchard ?

Orchard est le troisième pool de confidentialité de Zcash, introduit avec le réseau Nu5 pour remplacer progressivement Sprout et Sapling. La vulnérabilité identifiée résidait dans son circuit zk-SNARK : elle permettait théoriquement d’émettre des ZEC au-delà de l’offre autorisée sans que la preuve cryptographique ne signale d’anomalie. Toute la proposition de valeur de Zcash repose sur ces preuves à divulgation nulle de connaissance : si elles peuvent être contournées, l’intégrité de l’offre totale n’est plus garantie.

L’équipe de développement a déployé un correctif d’urgence validé lors du hard fork NU6.2 avant de rendre l’incident public. Cette séquence « patch d’abord, annonce ensuite » est une pratique standard de divulgation responsable, mais elle n’a pas suffi à contenir la réaction des marchés une fois l’information connue.

Comment les marchés ont-ils réagi ?

La chute a été immédiate et sévère. Decrypt rapporte un recul d’environ 38 % dans les premières heures ; d’autres estimations font état de près de 47 % sur la journée complète. L’écart entre ces 2 chiffres tient probablement à la fenêtre de mesure retenue : la volatilité intra-journalière sur un token à faible liquidité peut amplifier considérablement les variations.

Arthur Hayes, cofondateur de BitMEX et l’une des voix macro les plus suivies de l’écosystème, a annoncé avoir vendu l’intégralité de sa position ZEC. Il a résumé sa décision dans un post public : « la Sainte Trinité est morte ». Cette sortie à haute visibilité a renforcé la pression vendeuse sur un marché déjà fragilisé.

Pour mémoire, le ZEC avait franchi les 600 $ début 2025 porté par des entrées institutionnelles. La correction actuelle efface une large partie de ces gains. L’incident rappelle aussi les mises à jour d’urgence déployées sur le client Zebra lors de précédentes failles de sécurité : la chaîne accumule plusieurs épisodes critiques en peu de temps.

Pourquoi cette faille relance le débat sur les privacy coins ?

Zcash repose sur les zk-SNARKs pour garantir à la fois la confidentialité des transactions et l’intégrité de l’offre monétaire. C’est précisément ce double usage qui rend une vulnérabilité dans ce circuit particulièrement sensible : elle ne compromet pas seulement des fonds, elle remet en question la propriété fondamentale qui distingue Zcash des autres privacy coins.

Monero, concurrent direct, repose sur un modèle cryptographique différent (Ring Signatures et Bulletproofs), qui n’est pas exposé à ce type de faille spécifique aux circuits zk-SNARK. Les partisans de Monero n’ont pas manqué de le souligner sur les réseaux sociaux dans les heures suivant la divulgation.

La technologie sous-jacente à Orchard est par ailleurs utilisée dans d’autres contextes. JPMorgan avait intégré des éléments du protocole Zcash dans sa blockchain Quorum ; reste à savoir si cette implémentation est concernée par la même classe de vulnérabilité.

La gestion de la divulgation : avec patch préalable et annonce coordonnée : sera examinée de près par la communauté. Le fait qu’aucune exploitation de la faille n’ait été détectée avant la correction reste le seul point positif à retenir. L’examen post-mortem complet du circuit Orchard est attendu dans les prochaines semaines.

À retenir

La faille Orchard illustre les risques propres aux implémentations zk-SNARK complexes : une erreur dans le circuit peut rester invisible jusqu’à une analyse approfondie. À surveiller : le rapport post-mortem de l’équipe Zcash et la réaction des exchanges, plusieurs ayant déjà suspendu les dépôts de ZEC dans les heures suivant l’annonce.

Sources

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google